Объяснение безопасности нетехническим менеджерам
Я поддерживаю сайт Интранет для своей компании, который они хотят показать большому, плохому внешнему миру. Прямо сейчас у него нет никакой аутентификации или авторизации вообще. Моя идея управлять учетными записями пользователей заключается в использовании существующих технологий для проверки учетных записей пользователей и построения модели авторизации на основе этого. Существующими технологиями будут CardSpace и OpenID, которые избавят нас от ведения списков имен пользователей и паролей, что сделает сайт менее интересным для хакеров. Данные на сайте не так уж чувствительны. На самом деле, мы просто экспортируем те же данные пользователям одного из наших продуктов для настольных компьютеров, что и XML, и любой может просмотреть эту информацию, если он знает, где она находится. Мы просто запрещаем всем изменять данные, кроме нескольких суперпользователей. В худшем случае суперпользователь уничтожает все данные, и в этом случае нам придется восстановить резервную копию. В худшем случае мы теряем один день ввода данных, что может привести к сотне модификаций. (98 было на самом деле наибольшее количество модификаций за один день.)
В общем, это не очень важные данные. Мы просто хотим добавить немного безопасности.
Теперь руководство предложило создать дополнительную базу данных, в которой мы будем хранить имена пользователей и пароли, добавлять шифрование и делать все что угодно, чтобы защитить эти пользовательские данные, и они в основном создают всевозможные странные схемы для обработки учетных записей пользователей. Никто из них не имеет опыта в технических аспектах разработки программного обеспечения, и никто из них не знает, как сделать системы безопасными. Таким образом, их проекты становятся полным хаосом. (С большой буквы C.) Им уже два месяца требуется, чтобы придумать функциональный дизайн, поскольку они даже не могут договориться друг с другом по определенным аспектам безопасности.
Поэтому они попросили меня предоставить им простое понимание правильной безопасности. Поскольку я знаю, что и CardSpace, и OpenID достаточно безопасны, я хочу представить их им как лучший вариант управления учетными записями. Добавьте к этому простую систему ролей, где каждая учетная запись связана с особой ролью, предоставляя дополнительные права "Только просмотр", это будет быстро внедрено и легко поддержано. Построить это, сделать проверку концепции и найти достаточно технической информации легко. У меня только один вопрос...
Как я могу объяснить методы, такие как CardSpace и OpenID, людям, которые не имеют никакого технического образования? Что-то вроде "OpenID для чайников", но еще проще для понимания. У меня проблемы с поиском подходящих слов, не становясь немного техническим. (И что еще хуже, если я не смогу объяснить это правильно, они могут решить не использовать эту технику, и я буду обречен на реализацию монструозной конструкции.)
Пожалуйста помоги!:-)
Ну что ж. Упрощенный вопрос: как объяснить нетехническими словами преимущество использования OpenID или CardSpace по сравнению с любыми домашними решениями?
Приложение: Эти менеджеры не являются моими "нормальными" менеджерами. Они в основном генеральный директор и партнеры компании, которые пришли к идее опубликовать сайт. Обычно они делегируют эту задачу обычным менеджерам и принимают любое решение, которое придут постоянные. Но это стало для них чем-то вроде престижного проекта, поэтому они лично участвуют. По крайней мере, один из них искал в Интернете информацию о безопасности и хочет, чтобы она была более безопасной, чем Fort Knox. Он вызывает немного паранойи, которую я должен подавить, не оскорбляя их. И все они, кажется, узнают больше об этой вещи "безопасности", даже не понимая технический аспект. Поскольку это престижный проект, они готовы принять дорогостоящее решение, но оно не очень хорошо для компании. Лично я хотел бы сказать им, чтобы они отступили и позволили настоящим профессионалам справиться с этим. С другой стороны, я также хотел бы сохранить свою работу, поэтому мне нужен более политкорректный ответ.
5 ответов
Вы можете продать его с аргументом "Verisign".
Мы все могли бы генерировать и хранить наши собственные надежные криптографические ключи, но это огромные накладные расходы, и Verisign делает это за номинальную плату, и, как безопасный банк (не то, чтобы их было слишком много вокруг), имеет огромное доверие бизнес-сообщество, и хотя есть другие компании, предоставляющие такие же продукты, Verisign является лидером рынка.
Другим аспектом безопасности в Интернете являются идентификаторы и пароли пользователей.
"Открытый идентификатор" подобен паспорту (простите за метафору), он доказывает, кто вы, потому что вы объявили свою личность доверенному агентству (страна выдачи паспорта, Verisign и др. Для открытого идентификатора), и это может произойти после того, как раньше доказывал, кто ты.
Verisign предоставляет открытые идентификаторы, Versign доверяют на рынке, поэтому вы можете доверять открытым идентификаторам.
Написать свою собственную систему безопасности сложно. Шансы ошибиться значительны. Последствия неправильного понимания - огромные затруднения, возможные судебные иски и, в конечном итоге, издержки для компании.
Мудрое решение - минимизировать риск для компании.
(Вы могли бы также обратиться к их чувству самосохранения. Кто обвиняет, если внутреннее решение становится грушевидным по сравнению с готовым решением?)
Использование проверенного решения, такого как OpenId или CardSpace, является:
- более низкая стоимость
- более надежный
- быстрее реализовать
- более безопасный
- не другой пароль для запоминания
Я всегда думаю, что объяснить безопасность менеджерам проще, если вы объясните это с точки зрения экономики - не только с финансовой точки зрения, но и попытаетесь описать пользовательский опыт также с точки зрения экономической теории:
- для запоминания еще одного пароля требуется определенное количество умственных усилий, которое их решение навязало бы
- с процессом входа в OpenID связаны некоторые умственные усилия, которые заставляют вас переходить с одного сайта на другой
- Есть риски, связанные с каждым подходом
- каждый подход смягчает определенные риски
- каждый подход стоит денег
- каждый подход стоит денег
Теперь вы можете говорить о денежных затратах, стоимости пользовательского опыта и стоимости разработки каждого подхода, а также о рисках для бизнеса, их вероятности и вероятности. Менеджерам платят, чтобы понять стоимость и риск, поэтому они должны хорошо разбираться в вашем объяснении:-).
Какие технологии вы используете, чтобы написать этот интранет-сайт? Почти каждая используемая технология имеет хороший способ обеспечения безопасности - и переосмысление безопасности с нуля всегда терпит неудачу.
Это не значит, что ваши менеджеры не правы. Точно так же, как вы знаете технические ограничения, которые они не понимают, они могут знать о политике компании или управлении, о которых вы тоже не знаете.