В удивительном мире информационных технологий, где айтишники и клиенты встречаются регулярно, царствует терминологический Хаос! Казалось бы, все говорят на одном языке, но когда речь заходит про «данные для авторизации», клиенты впадают в ступор. Бизнес говорит «учетки», «логины», «доступы» — как правило, подразумевая под этим пары «логин и пароль» для доступов к облачным сервисам. Однако не все новые типы информации подпадают под эти термины. Мы в TeamDo сталкиваемся с таким регулярно, потому стали искать другое емкое определение.
Если вы сеньор и зачастую не можете подобрать нужные слова, когда общаетесь с бизнесом, — заходите под кат! Мы поделимся опытом поиска полезного (хоть и не идеального) термина.
Эволюция IT: от гиков до утонченных профессионалов — как изменились программисты и заказчики за два десятилетия
Привет, я Вячеслав Крампец, главный архитектор TeamDo. За два десятилетия + в IT пережил настоящую эволюцию. Когда-то нас воспринимали как гиков: борода, свитер, очки, разговор на непонятном языке, работают ночью, что делают — не ясно, трудятся за интерес.
К 2023 году образ изменился. Программист — умен, тонок, ироничен. Знает себе цену, работает за высокую зарплату, пострижен в барбершопе, одет в неброскую, но качественную рабочую одежду — толстовка, джинсы или костюм.
Естественно, изменения коснулись не только внешнего вида. В «нулевых» программист знал и умел многое. Понимал архитектуру компьютеров, сети и был по текущим меркам DevOps. В 2023 — узкая специализация, много специалистов, знающих небольшой набор инструментов под узкие задачи.
Та же история с заказчиками. Если в «нулевых» постановкой задачи занимались топ-руководители, то сейчас — менеджеры любого звена, возраста и образования. За 20 лет мир IT переполнился устройствами и программами, и «целевая аудитория» размылась. Теперь точно сказать, кто твой пользователь и насколько он в теме — сложнее, чем когда-либо.
Проблема усугубляется тем, что для большинства интернет, компьютеры, поисковики, соцсети, мессенджеры, мобильные устройства — часть ежедневного, бытового использования. Простота использования создает иллюзию простоты создания. Помню, как мы поначалу удивлялись запросам «сколько будет стоить сделать Яндекс?», «посчитайте мне сайт объявлений, вот вам пример Авито». Потом перестали.
Эволюция учета доступов в нашей команде
Занимаясь заказной разработкой по Time and Material, мы, естественно, должны были учитывать рабочее время, поэтому к 2012 году написали под себя рабочий инструмент на C# — систему учета рабочего времени, в которой стали работать (и работаем) ежедневно.
Внутри этой же системы по ходу проектов мы собирали сопутствующую информацию. Один из типов такой информации — учетные записи для хостинга, доменов, API.
Менеджер получал их от клиента и передавал разработчикам или системным администраторам. Когда у заказчика были свои IТ-специалисты, с пониманием друг друга проблем не было, ведь большая часть определений нам досталась от пионеров и IТ-гигантов: Microsoft, Oracle и других. Все учились на мануалах, терминология уже более-менее закрепилась и понимается одинаково. До определенного времени в этом кругу термина «доступ» всем вполне хватало.
Наш спец. раздел «доступы» внутри своей системы учета рабочего времени мы структурировали, собирая следующие данные по каждому проекту:
пары логин и пароль для доступов к облачным сервисам;
наборы данных для входа по ssh/sftp на удаленный сервер (логин, пароль или ключ);
API-ключи и «секреты» для интеграции с API внешних сервисов (1С, Яндекс, Google и т.д.).
И да — все в команде знали, где и что искать.
У нас есть «пунктик» по автоматизации своих процессов, поэтому мы дописали автоматические проверки и получали ответы доступности внешних сервисов.
От доступов к безопасности: эволюция управления информацией о клиентах
Со временем к нам стали приходить заказчики из медицины, спорта, образования. Эти ребята, с одной стороны, слабо подготовлены в IТ: для большинства из них слова «url», «имя сайта», «домен» не являются синонимами, а запрос «дайте url вашего сайта» может сломать коммуникацию. С другой стороны, с ними мы говорили уже не только о «доступе к панели администрирования сайта», но и о «доступе к запрещенной сети», «доступе к фотобанку», ссылках на фирстиль, видео, инструкции, лицензии и т.д.
В 2016 в «Доступах» накопилось много разнообразной информации по клиентам:
Ссылки на фирстиль: логотип, брендбук;
Ссылки на фактуру: документы, тексты, фото, видео, инструкции, лицензии, руководства, семинары;
Патенты, свидетельства о регистрации;
Учетные записи к Saas-сервисам, соцсетям;
Ссылки на облачные хранилища;
Ссылки на расшаренные документы из внешних инструментов (Figma, Miro и пр.).
На некоторых проектах доходило до сотни записей. Как правило, это были крупные и долгие задачи, длящиеся по 3-5 лет, включающие в себя и разработку, и интернет-маркетинг. Они сопровождались обилием входящих документов, файлов, «расшаренных» доступов к внутренним системам и внешним saas-сервисам клиента.
Тогда мы попытались определить типы передаваемых нам доступов, набрали более 20, а все, что не попадало под понятные нам типы учетных записей, мы обозначили «URL».
Особенность была в том, что под обычными «ссылками» (перехожу на язык рядового менеджера) могли находиться весьма дорогие типы контента для многократного использования. И все это материальное и нематериальное имущество обладает достаточной ценностью, которая представителями заказчиков часто не осознается. Особенно, когда с той стороны не тот, кто платил за создание актива, не тот, кто им регулярно пользуется.
Все чаще стала повторяться проблема «найдите нам ...», «у вас было», «пришлите нам наш доступ к ...».
Теряют всё! Файлы, логины с паролями. Месяц назад бывший клиент искал доступ к YouTube, на прошлой неделе другому отвечали про dns домена. Бывает, клиенты сами не знают, как называется то, что они ищут. Пару недель назад у медицинского центра (не работаем уже 3 года) случился сбой в программном продукте, искали доступ к своему биллингу.
Так мы подошли к проблеме — как назвать и где хранить?
Язык цифровой безопасности: Проблемы и поиски идеального термина
MVP сервиса менеджера паролей TeamDo появился в 2021 году. Причины?
Во-первых, наша система учета рабочего времени распухла от обилия доступов ко всевозможным соцсетям и прочему от клиента.
Во-вторых, и это самое важное, мы не хотели пускать заказчика в нашу систему.
В-третьих, администрирование доступов утомительно, когда это не входит в круг твоих непосредственных обязанностей.
В-четвертых, по-предпринимательски грустно наблюдать происходящее с данными по завершению проекта. В нашей практике это случалось так. По завершению проекта на стадии подписания акта менеджеры спрашивали клиентов, собрать ли все их данные в файл. Получив утвердительный ответ, формировали файл с доступами и передавали клиенту. Что делал клиент или его сотрудник дальше? 99% выкладывали в облачное хранилище и расшаривали доступ для коллег. 1% сохранял на сервере. Только пару раз видели у клиентов использование менеджера паролей.
Требовалась сепарация.
В процессе разделения нашего и клиентского, мы, естественно, начали размышлять о термине, способном просто и понятно определять для всех, что мы храним. Сделав несколько подходов к поиску слов понятных всем неспециалистам: от заказчика до фрилансера, мы ввели термин «цифровой актив».
Так мы хотели сделать акцент на ценности — «Это ваша собственность! Позаботьтесь о ней!»
Критерии цифрового актива тоже сформулировали:
Электронный вид.
Нет гарантии его восстановления при утере.
Утеря приводит к увеличению финансовых и репутационных рисков.
К слову сказать, в английском тоже есть термин «цифровой актив» — Digital Asset В презентации Intel на «Intel Developer Forum 2013» под это определение попало 30 объектов.
Похожее определение «цифрового актива» есть у Gartner: A digital asset is anything that is stored digitally and is uniquely identifiable that organizations can use to realize value. Examples of digital assets include documents, audio, videos, logos, slide presentations, spreadsheets and websites.
Короче, мы не были первыми, кто обозначил все, хранящееся в цифровом виде, имеющее уникальную идентификацию, используемое организацией многократно для создания новой ценности — цифровым активом.
Понятность термина проверяли на своих клиентах и незнакомых людях: проводили опросы, общались на конференциях. Увидели, что собственников бизнеса беспокоит:
Отсутствие системы управления доступами и паролями, особенно в случае ухода ключевых сотрудников или сотрудников-партнеров.
Потеря цифровых активов, включая конфиденциальные данные, поскольку это может иметь серьезные репутационные и финансовые последствия для бизнеса.
Отсутствие ясного представления о цифровых активах и их управлении, поскольку повышается риск дублирующих затрат
Однако, здесь не все так гладко. Выбранное понятие в голове клиента сильно перекликается с термином «цифровой финансовый актив». По крайней мере, первые ассоциации, которые возникают в уме собственника малого и среднего бизнеса, — про цифровые финансы, криптовалюты, токен в блокчейне. Плюс здесь уже есть законодательная база (ФЗ № 259) и четкая терминология.
Смотрели в сторону устоявшегося в профессиональном DevOps термина «секреты». Понятный разработчикам и сисадминам, он может быть понятен и неспециалисту, поскольку намекает что у секрета есть владелец, способный контролировать, передавать и продавать его. Но этот термин, во-первых, не прямо определяет объект, существующий в цифровой форме. Во-вторых, это практически не встречается в языке клиентов в нашей области.
Сейчас все объяснения для неспециалиста мы строим в формате «вопрос-ответ». Спрашиваем, «как вы храните логины и пароли?», «как вы храните ссылки на документы?», «есть ли у вас ценная информация в файлах в облаке?». Затем, резюмируя разговор, мы можем использовать термины «доступы» и «цифровые активы» в зависимости от специфики обсуждаемых клиентом тем и слов, которые он употребил. При этом продолжаем искать понятный термин для маркетинга.
Пока мы с командой решили отказаться от «цифрового актива» и «секретов». Остановились на словосочетании «пароли и доступы» — мы видим их ближе к процессу. Использовать будем так:
В описании продукта — «Менеджер паролей и доступов».
В интерфейсе продукта — «Пароли и Доступы».
Но что-то внутри продолжает говорить, что идеальное словосочетание или слово возможно.
Будем признательны, если сообщество Хабра подскажет варианты решения. Главное ограничение — термин должен быть понятен для неспециалистов.
VladimirFarshatov
Самый надёжный способ - бумажка. Сложенная в сейф, вместе с центральным сервером и запертая на ключ.
Правда .. однажды потеряли ключ от сейфа и пахала система лет 5 как проклятая.. ;)
Давно было..