Puede que esta no sea una pregunta muy técnica en sí misma, así que siéntase libre de moverla al foro / pila correspondiente. Sin embargo, realmente agradecería a cualquiera que haya experimentado o que haya experimentado una situación similar y las soluciones que se están adoptando.
Por lo tanto, estoy trabajando como ingeniero de seguridad con una pequeña puesta en marcha. Ahora, en mi organización anterior, una empresa típica, tenía a mi jefe para que se encargara de hacer lo convincente, etc. con la administración de alto nivel y lograr que las cosas requeridas para que trabajemos sin problemas. Sin embargo, en mi función actual, siendo una empresa nueva, soy el único ingeniero responsable de la seguridad de la información de toda la empresa. Ahora, por abrumador que sea, se está convirtiendo en una curva de aprendizaje increíble para mí cada día. Estoy captando diferentes aspectos de la seguridad como pasos pequeños, uno a la vez, comenzando con los activos más importantes que deben protegerse y que se encuentran en el riesgo máximo / en la zona de amenaza. Estoy tratando de priorizar las cosas y ver dónde se necesita una prueba de pluma y dónde se necesita una VA.
Me enfrento a muchos desafíos que me gustaría discutir a continuación: Ahora, dada la situación anterior en la que me encuentro, uno de los principales desafíos a los que me enfrento ahora es que constantemente estoy presionando a los conductores técnicos para asegurarme de que cada nueva característica que se supone que debo probar necesita primero verificar la calidad del control antes Puedo recogerlo para un VA / PT / pruebas de seguridad. La razón es que ha habido un par de casos en los que, debido a un control de calidad incompleto en la función, mis casos de prueba de seguridad dieron falsos negativos, ya que la función en sí se rompió en contra de lo esperado. Ahora, esto es algo que los conductores de tecnología no encuentran lo suficientemente convincente como para permitir las pruebas de seguridad solo después de la aprobación de control de calidad. Necesitan más ejemplos / casos de prueba para respaldar esto . Sus argumentos son,
la prueba de seguridad se puede realizar en paralelo al control de calidad y no necesito esperar realmente en el control de calidad, ya que simplemente está empujando la fecha de lanzamiento de forma no necesariamente.
¿Estoy en lo cierto en mi argumento? En caso afirmativo, ¿qué más puedo hacer para convencerlos de mis puntos? Si no estoy en lo cierto, ayúdeme a entender por qué mi argumento es incorrecto.