Почему безупречный код — это ноль, если бухгалтер не нашел кнопку «сохранить»

Вам наверняка попадался тот самый мем: «Как видит проект заказчик / как видит разработчик / как видит пользователь». Так вот, я — тот парень, который рисует четвертую картинку: «Как это должно работать на самом деле» и «как сделать продукт, который устроит всех». Меня зовут Ярослав, я data pre-sale в MWS. За долгие годы работы я совершил массу ошибок и однажды чуть не похоронил проект, потому что послушал заказчика и не поговорил с бухгалтером, которому в итоге предстояло пользоваться продуктом. Оказалось, их боли — две огромные разницы. В итоге я вывел для себя два главных правила: — Не бойся ошибаться, бойся ошибаться медленно. Чем раньше ты получишь фидбэк от реального пользователя, тем дешевле и быстрее все исправишь. — Твоя главная суперсила — не техстек, а синергия. Умение переводить с языка бизнес-хотелок на язык Python и обратно, а потом и на диалект «бухгалтера Галины Ивановны» — вот что определяет успех твоего проекта. Сегодня я расскажу, как, принимая ошибки и выстраивая коммуникацию, можно создать продукт, который будут реально использовать и рекомендовать другим.

https://habr.com/ru/companies/ru_mts/articles/972764/

#Data_Presales #Управление_проектами #Прототипирование #Коммуникация #ТЗ #Оценка_рисков #Бюджет #Пользовательский_фидбэк #B2B

Таксономия рисков в Delivery Management: от «зависимостей» до «технического долга»

Все вокруг твердят о рисках , «риски надо учитывать», «риски нужно минимизировать», но мало кто системно объясняет, какие вообще риски бывают и как их классифицировать именно применительно к Delivery Management.

https://habr.com/ru/companies/otus/articles/968564/

#деливерименеджмент #рискменеджмент #проектная_доставка #технический_долг #управление_командой #оценка_рисков #управление_качеством

Устарело за секунду: Ваша система оценки уязвимостей больше не соответствует ФСТЭК. Что делать?

Этим летом ФСТЭК России ввел в действие новую редакцию «Методики оценки уровня критичности уязвимостей программных, программно-аппаратных средств». В результате принятия данного документа прекратила свое действие прежняя методика, которая была утверждена ФСТЭК России еще в 2022 году. Узнать про изменения

https://habr.com/ru/companies/securitm/articles/947652/

#Методика_ФСТЭК #Приказ_117 #Модуль_VM #уязвимости #фстэк_россии #информационная_безопасность #оценка_рисков #государственные_учреждения #информационные_системы

Инструмент оценки рисков безопасности: что нужно учесть при выборе

Привет, Хабр! Меня зовут Ирина Созинова, я эксперт по информационной безопасности в Авито . Моя прошлая публикация была о том, как мы выстраиваем в Авито процесс оценки рисков безопасности . В этой же статье рассказываю, на какой функционал стоит обратить внимание при выборе инструмента в целом и что было важно конкретно для нас. А еще — разбираю плюсы и минусы системы класса GRC для управления рисками.

https://habr.com/ru/companies/avito/articles/924176/

#риск #рискменеджмент #риски #grc #управление_рисками #управление_рисками_иб #инструменты_аналитика #безопасность #оценка_рисков #infotmation_security

Как связать сервисы предприятия с его процессами и ИТ-инфраструктурой

Весной 2024 года в нашу компанию «ЛАНИТ-Интеграция» обратился заказчик - один из крупнейших отечественных промышленных автопроизводителей. Предприятие с оставшейся в наследие с советских времён заводской конгломерацией, множеством дочерних обществ, поставщиков материалов и комплектующих изделий. Специфика взаимоотношений внутри этой группы компаний такова, что за работоспособность ИТ-инфраструктуры и предоставление ресурсов отвечает головной офис по формату провайдера облачных услуг, а за развитие и работоспособность непосредственно бизнес-сервисов – подразделение, их эксплуатирующее. Но, как вы понимаете, что-то пошло не так. Как мы помогли заказчику разобраться со сложившейся ситуацией, читайте в этой статье.

https://habr.com/ru/companies/lanit/articles/918876/

#ланит #itsm #каталог_услуг #ресурсносервисная_модель #оценка_рисков

Подготовка к ССК (2). Менеджмент информационной безопасности. Оценка рисков информационной безопасности

В этой статье мы рассмотрим оценку рисков информационной безопасности, которая является ядром системы менеджмента информационной безопасности. Понимание процесса оценки рисков необходимо Сертифицированному Специалисту по Кибербезопасности для грамотного выстраивания СМИБ.

https://habr.com/ru/articles/896500/

#СМИБ #оценка_рисков #ССК

Как за 4 шага улучшить процесс оценки рисков безопасности

Привет, Хабр! Меня зовут Ирина, я аналитик по информационной безопасности в Авито . В этой статье я делюсь нашим опытом и моими личными впечатлениями о выстраивании процесса оценки и управлении рисками информационной безопасности в Авито. Рассказываю, что понадобилось для запуска и поддержки процесса оценки рисков, в чем польза такой оценки и как здесь не отставать от трендов. Мой рассказ будет интересен не только ИБ-аналитикам, риск-менеджерам, но и всем, кто интересуется темой оценки рисков.

https://habr.com/ru/companies/avito/articles/844856/

#риск #рискменеджмент #недопустимое_событие #практическая_безопасность #результативная_кибербезопасность #sgrc #grc #оценка_рисков

Метод Монте-Карло для оценки рисков в кибербезе

Руководители нуждаются в измерении рисков и выражении в денежном эквиваленте снижения рисков. Этой цели и посвящен описываемый ниже метод.

https://habr.com/ru/articles/822719/

#оценка_рисков #ciso

Безопасность DevOps. Автоматизация и новые инструменты

Цикл популярности понятий из безопасности приложений, 2022 год. Из одноимённого отчёта Gartner . См. также обновление за 2023 год В процессе внедрения системы безопасности в DevOps можно использовать многие инструменты, которые уже применяются в компании. Какие-то будут плотно интегрированы в процесс, а другие использоваться периодически. Кроме старых, внедряются новые инструменты, чтобы устранить пробелы в инструментарии и дополнить возможности для автоматизации. Ключевые инструменты и процессы безопасности показаны на схеме вверху (из доклада Gartner ). Рассмотрим подробнее каждый этап автоматизации и внедрения новых инструментов в существующий рабочий процесс.

https://habr.com/ru/companies/globalsign/articles/782732/

#DevSecOps #оценка_рисков #обучение_сотрудников #внедрение_DevDecOps #модель_угроз #технический_долг #тестирование_безопасности #Software_Composition_Analysis #SCA #Application_Security_Testing #AST #SAST #DAST #IAST #MAST #недетерминированные_тесты #автоматизация #IDPS #безопасность_DevOps

Безопасность DevOps. Обучение сотрудников

В предыдущей статье мы упомянули основную проблему современных практик DevOps и конвейера CI/CD (Continuous Integration/Continuous Delivery). Основная проблема с точки зрения безопасности в том, что проверка уязвимостей и мониторинг безопасности стоят в конце цикла разработки, перед развёртыванием продукта. Более грамотный подход заключается в том, чтобы интегрировать практики по безопасности DevSecOps на раннем этапе (проактивный подход на КДПВ), а не постфактум. Первым делом программисты проходят обучение на предмет информационной безопасности, см. примерный план программы обучения для разработчиков . После этого инструменты безопасности интегрируются непосредственно в рабочий процесс.

https://habr.com/ru/companies/globalsign/articles/780964/

#DevSecOps #стратегическое_планирование #оценка_рисков #ShiftLeft #ShiftRight #обучение_сотрудников