Позиционирование продукта и информационная безопасность

Давным-давно так сложилось, что продавать дополнительные меры информационной безопасности в придачу к основному IT-продукту как-то не принято. Ведь каждый продукт без сомнения должен быть безопасен по определению и сомнений не вызывать. А мы вот столкнулись с простой жизненной ситуацией - почти каждый IT-продукт можно по разному использовать, наполнять разными данными и в зависимости от этого иметь разные модели угроз, а соответственно - предоставить меры информационной безопасности клиенту на выбор - сложилось как правило хорошего тона, как возможность для клиента получить ровно то, что он хочет, ровно за те деньги, за которые оно того стоит.

Вообще мы проектируем, разрабатываем, обслуживаем различные SaaS-системы. Как собственные, так и под заказ на аутсорсинг. В этом посте речь будет идти о нашем SaaS с электронной почтой и различных кейсах его использования.

Идея сделать серединку между публичным Email-сервисом и on-premise почтовым сервером родилась не с безопасности. Основная её причина - дать клиенту максимум техподдержки и качества за минимум денег. Как ни странно именно SaaS вариант почты позволил это в себе сочетать.

Крупный Email-сервис не всегда (почти никогда) не может пустить техническую поддержку в логи почтового сервера - это напрямую создаст много трудностей и в работе самой технической поддержки, и в факте доступа её сотрудников к данным о переписке клиентов.

On-premise решение же дорого по всем on-premise-причинам: сложно строить отказоустойчивость, нужно кем-то обслуживать, нужны ресурсы и так далее вплоть до длительного времени восстановления при аварии.

SaaS-решение оказалось оптимальным, потому что с одной стороны технические специалисты облака обеспечивают качественную работу сервиса, с другой стороны - предоставить доступ к логам почтового сервера можно непосредственно в административном интерфейсе почтового сервиса клиенту, и с его аппрува - сотруднику технической поддержки, ровно на время обработки обращения. Что это дает? Элементарные запросы "где письмо" - клиент силами своих IT-специалистов сам видит в интерфейсе почтовой системы и быстро, локально решает простой вопрос, с другой стороны сложные вопросы легко делегируются в техподдержку облака.

Наконец-то о безопасности. Каждый хочет чтобы его электронная почта была в безопасности, но у каждого свои требования и свои риски, как законодательные, так и чисто технические. Одной компании, не предоставляющей интереса потенциальных взломщиков - достаточно обычной открытой системы защищенной по логинам/паролям. Другой компании требуется ограничить работу почты в рамках VPN-доступа, например при наличии в почте чувствительной коммерческой информации. Третья - нуждается в физическом проводе между их инфраструктурой и SaaS; обычно больше для экономии Интернет-трафика на рассылках, чем для безопасности.

Конечно каждый продукт должен выглядеть максимально безопасным, совершенно несомнительным и идеальным в глазах клиента, я полностью с этим согласен. Но всё же лучший подход - реалистичный. Реалистично - понимать модель угроз в своем бизнесе, так же реалистично - применять соответствующие меры безопасности, и не применять излишние (а зачем, если это не имеет смысла?).