Jak metodologia service design może zwiększyć stopień bezpieczeństwa?
#1
Service Design, czyli projektowanie usług, to narzędzie, które może zwiększyć skuteczność rozwiązań zabezpieczających.
[Obrazek: city-view.jpg?w=674&h=400&crop=1]
Na blogu piszemy głównie o najnowszych zagrożeniach, anatomii ataków oraz środkach bezpieczeństwa, które mają im zapobiegać.

Rzadko jednak omawiamy samo tworzenie oprogramowania zabezpieczającego. Naturalnie, w znacznej części sprowadza się ono do spraw technicznych, którymi badacze, analitycy i eksperci od bezpieczeństwa zajmują się w laboratorium oraz w terenie i które są następnie implementowane przez deweloperów. Ale czy jest w tym coś więcej?

Bez względu na technologię, którą masz pod maską, jest ona warta tylko tyle, ile osoby, które na co dzień nią zarządzają. Jeśli są przeciążone nadmiarem informacji i błędami false – positive, mogą przegapić ostrzeżenie o rzeczywistym ataku. Ponadto badanie wszystkich tych fałszywych pozytywów jest bardzo drogie i zwiększa łączne koszty eksploatacji (TCO) rozwiązania zabezpieczającego.

Zatem jeśli procesy zarządzania bezpieczeństwem nie są dobrze zaprojektowane, zajmują więcej czasu i zwiększają ryzyko ludzkiego błędu, który następnie trzeba poprawić — tracąc jeszcze więcej czasu – a w najgorszym przypadku stwarzają słabe punkty, które mogą zostać wykorzystane przez napastników.

Tutaj na scenę wkracza Service Design. Cóż to takiego? W skrócie, Service Design to forma metodologii projektowej, która wykorzystuje wiele interdyscyplinarnych narzędzi, takich jak projektowanie interakcji, inżynieria procesowa, tworzenie interfejsów użytkownika oraz uważna analiza potrzeb i doświadczenia użytkowników. Metodologia Service Design ma sprawić, że dostarczana usługa będzie bardziej użyteczna, intuicyjna, wydajna i skuteczna.

Jest to szczególnie ważne w przypadku złożonych systemów, takich jak portale oprogramowania zabezpieczającego, w których występuje duże zagęszczenie informacji. Mnóstwo skomplikowanych informacji technicznych trafia do jednego portalu, a na ich podstawie podejmuje się wiele różnych działań i wybiera liczne opcje.

System musi zatem wspierać administratorów IT, prezentując tylko istotne dane techniczne oraz informacje o statusie i komunikaty zwrotne. Oczywiście, dostępne działania również muszą być prezentowane w sposób intuicyjny i łatwy w użyciu. Metodologia Service Design oferuje kilka korzyści:

* minimalizuje ryzyko ludzkiego błędu, zwiększając stopień bezpieczeństwa,
zwiększa efektywność i szybkość zarządzania,
zapewnia administratorowi poczucie większej kontroli nad sytuacją.

Jak przekłada się to na implementację oprogramowania? Dobrym przykładem jest proces, który automatycznie prowadzi użytkownika do zarządzania właściwą organizacją lub grupą, bez potrzeby ręcznego wyszukiwania. Jest to bardzo przydatne dla administratorów, którzy zarządzają oddzielnymi organizacjami albo grupami biurowymi, ponieważ widzą oni tylko informacje i działania związane z konkretną organizacją lub grupą.
[Obrazek: scope-selector.png?w=397&h=372]
SELEKTOR ZAKRESU

Poprzez projektowanie procesów w taki sposób możemy nie tylko zwiększyć efektywność zarządzania, ale również zagwarantować, że administrator IT przypadkiem nie skonfiguruje zabezpieczeń komputera produkcyjnego w sposób zbliżony do (dajmy na to) komputera w dziale marketingu. Oczywiście, trzeba zadbać o to, aby przełączanie się między zakresami przebiegało gładko.
[Obrazek: software-updates-wizard.png?w=338&h=299]
KREATOR PEŁNOEKRANOWY

Projekt portalu musi nie tylko gwarantować, że administrator będzie pracował we właściwym zakresie, ale również że wszystkie zadania związane z zarządzaniem bezpieczeństwem będzie można wykonać łatwo i efektywnie. Weźmy na przykład instalowanie najnowszych poprawek oprogramowania w wielu różnych urządzeniach. Dobrze zaprojektowany proces nie zmusza administratora do czasochłonnego sprawdzania, w których urządzeniach brakuje pewnych aktualizacji, ale dostarcza mu te informacje, znacznie przyspieszając wykonanie zadania.
[Obrazek: feedback-messages.png?w=474&h=332]
KOMUNIKATY ZWROTNE

Ważna jest również komunikacja z użytkownikiem oprogramowania, czyli dostarczanie mu właściwych informacji we właściwym czasie. Oznacza to, że komunikaty i konsole informacyjne muszą być dostępne zawsze, kiedy są potrzebne (ale bez przeszkadzania w pracy), opisowe oraz zrozumiałe, żeby administrator zawsze wiedział, co się dzieje.

Zatem komunikaty zwrotne powinny być pokazywane, kiedy zadanie zakończy się powodzeniem, kiedy wystąpi błąd albo kiedy proces nadal trwa – albo kiedy zdarzy się coś ważnego, na co użytkownik powinien zareagować. Gwarantuje to, że administrator nie zostanie przytłoczony nadmiarem danych lub powiadomień, ale będzie dysponował wszystkimi istotnymi informacjami niezbędnymi do podjęcia świadomej decyzji, co robić dalej, albo zrozumienia, jak przebiega pewien proces.

W rezultacie administrator ma poczucie większej kontroli nad sytuacją, podejmuje lepsze decyzje i rzadziej popełnia błędy lub ignoruje ważne informacje.

W miarę, jak krajobraz bezpieczeństwa staje się coraz bardziej skomplikowany i trudniejszy w zarządzaniu, naturalną reakcją jest korzystanie ze wszystkich narzędzi, które mamy do dyspozycji, aby efektywniej się po nim poruszać.

Z takiej perspektywy Service Design jest kolejnym narzędziem, które może ulepszyć nasze rozwiązania i efektywność korzystania z nich, a w konsekwencji zwiększyć stopień bezpieczeństwa, jakie zapewniają one użytkownikom.

Źródło: F-Secure
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości