Наверное, многие сталкивались, что тяжело добиваться массивных вложений в техническую безопасность. Рабочими часами то не все, но кто-то, могут и сами распорядиться в правильную сторону (просто не у всех есть столько автономии). Но вот с действительно большими деньгами намного тяжелее - никакой технический руководитель на мешке _свободных_ денег не сидит. А всякие SAST/DAST анализаторы и подобные решение склонны стоить дорого.
Но гром не грянул, мужики не перекрестились, все обоснования носят неустранимо гипотетический характер. Даже не спорим, но денег столько не дадим.
Но иногда приходит технический аудит. Он обычно не просто так приходит - это либо инвесторы, либо кредиторы запросили. И аудит обычно воспринимается плохо - много анкет, какие-то глупые вопросы, предельно формальный подход. НО есть польза - аудит может довольно явно написать, что оценивает вашу безопасность невысоко (а они очень-очень любят туда смотреть) и что у вас не хватает каких-то правильных аббревиатур для полноты. И вот теперь то шанс пролоббировать расходы резко растет.
Из угрозы быть гипотетически крупно взломанным когда-то, появляется практическая угроза здесь и сейчас получить инвестиции с меньшей оценкой, или получить кредит под худший процент. Чтобы там не думали на самом деле о содержании отчета на той стороне, они все равно используют любой негатив как рычаг в переговорах. И вот эта аргументация уже совершенно понятна и близка на всех уровнях.
К сожалению, в рамках текущего процесса оценки может уже не быть времени на исправление. Но ни кредиты, ни инвестиции никогда не последние, поэтому аппелировать к прошлому аудиту можно еще продолжительное время.
Но гром не грянул, мужики не перекрестились, все обоснования носят неустранимо гипотетический характер. Даже не спорим, но денег столько не дадим.
Но иногда приходит технический аудит. Он обычно не просто так приходит - это либо инвесторы, либо кредиторы запросили. И аудит обычно воспринимается плохо - много анкет, какие-то глупые вопросы, предельно формальный подход. НО есть польза - аудит может довольно явно написать, что оценивает вашу безопасность невысоко (а они очень-очень любят туда смотреть) и что у вас не хватает каких-то правильных аббревиатур для полноты. И вот теперь то шанс пролоббировать расходы резко растет.
Из угрозы быть гипотетически крупно взломанным когда-то, появляется практическая угроза здесь и сейчас получить инвестиции с меньшей оценкой, или получить кредит под худший процент. Чтобы там не думали на самом деле о содержании отчета на той стороне, они все равно используют любой негатив как рычаг в переговорах. И вот эта аргументация уже совершенно понятна и близка на всех уровнях.
К сожалению, в рамках текущего процесса оценки может уже не быть времени на исправление. Но ни кредиты, ни инвестиции никогда не последние, поэтому аппелировать к прошлому аудиту можно еще продолжительное время.
👍12
"Не бойся ножа, а бойся вилки. Один удар - 4 дырки."
Только ленивый еще не пошутил про свежее падение Cloudflare, которое расширяет тезис про концентрацию рисков.
Если падение AWS я в быту почти не заметил, то cloudflare обвалил довольно широкий фронт мелких повседневных сайтов.
Так называемых гиперскалеров все-таки несколько, есть еще Гугл, есть еще Майкрософт. Да и до этих трех дорастают совсем не все, оставаясь во много у более традиционных хостеров.
А вот cloudflare успешно проник даже в мелочь со своими бесплатными или дешевыми планами. И в этом качестве у него очень маленькая практическая конкуренция.
Только ленивый еще не пошутил про свежее падение Cloudflare, которое расширяет тезис про концентрацию рисков.
Если падение AWS я в быту почти не заметил, то cloudflare обвалил довольно широкий фронт мелких повседневных сайтов.
Так называемых гиперскалеров все-таки несколько, есть еще Гугл, есть еще Майкрософт. Да и до этих трех дорастают совсем не все, оставаясь во много у более традиционных хостеров.
А вот cloudflare успешно проник даже в мелочь со своими бесплатными или дешевыми планами. И в этом качестве у него очень маленькая практическая конкуренция.
👍3
Для людей долетевших до C-level или около есть занятный способ следить за индустрией за пределами возможностей личного нетворка.
Когда идут большие финансовые маневры на рынке - кредиты, инвестиции - к ним обращаются за консультацией, чтобы получить дополнительную проверку, а не в фигню ли мы вкладываемся.
Есть агентства, которые находят таких людей и организуют с ними разговор. Все конфидециально - заказчик не представляется, и предмет интереса не всегда прямо называется.
Но раз уж позвали экспертом, то поди сможете связать концы из вопросов и понять если не кто, то хотя бы кого. Ищут линкедином, так что полезно держать профиль актуальным.
Когда идут большие финансовые маневры на рынке - кредиты, инвестиции - к ним обращаются за консультацией, чтобы получить дополнительную проверку, а не в фигню ли мы вкладываемся.
Есть агентства, которые находят таких людей и организуют с ними разговор. Все конфидециально - заказчик не представляется, и предмет интереса не всегда прямо называется.
Но раз уж позвали экспертом, то поди сможете связать концы из вопросов и понять если не кто, то хотя бы кого. Ищут линкедином, так что полезно держать профиль актуальным.
🔥4