Questa potrebbe non essere una domanda molto tecnica di per sé, quindi non esitare a spostarla nel rispettivo forum / stack. Tuttavia, mi piacerebbe davvero apprezzare chiunque abbia esperienza o esperienza di una situazione simile e le soluzioni adottate.
Quindi lavoro come ingegnere della sicurezza con una piccola start-up. Ora, nella mia precedente organizzazione, una tipica azienda, avevo il mio capo che si occupava di convincere ecc. Con la gestione di alto livello e ottenere le cose necessarie per far funzionare senza problemi. Tuttavia, nel mio attuale ruolo, essendo una start-up, sono l'unico ingegnere responsabile della sicurezza delle informazioni di tutta l'azienda. Ora come travolgente, come diventa, sta diventando una straordinaria curva di apprendimento per me di giorno in giorno. Raccolgo diversi aspetti della sicurezza come piccoli passi, uno alla volta, iniziando con le risorse più importanti che devono essere protette e che si trovano al massimo rischio / nella zona delle minacce. Sto cercando di dare la priorità a cose e vedere dove è necessario un pen-test e dove è necessario un VA.
Ci sono molte sfide che sto affrontando di cui vorrei discutere nel seguito: Ora, data la situazione di cui sopra, una delle principali sfide che sto affrontando ora è che continuo a spingere dai lead della tecnologia per assicurarmi che ogni nuova funzionalità che dovrei testare debba prima verificare il QA prima Posso prenderlo per un VA / PT / test di sicurezza. Il motivo è che ci sono stati un paio di casi in cui, a causa di un QA incompleto sulla funzione, i miei casi di test di sicurezza hanno fornito falsi negativi, in quanto la funzionalità stessa è stata interrotta in modo contrario alle aspettative. Ora questo è qualcosa che i responsabili della tecnologia non trovano abbastanza convincente da consentire i test di sicurezza solo dopo l'approvazione del QA. Hanno bisogno di più esempi / casi di test per supportare questo Loro argomento è,
security test can be done in parallel to QA and that I need not really wait on the QA as it is simply pushing the release date un-necessarily.
Ho ragione nel mio argomento? Se sì, cos'altro potrei fare per convincerli sui miei punti. Se non ho ragione, per favore aiutami a capire perché la mia argomentazione non è corretta.