有同事抱怨,在手机上选择生日,对手指极不友好,需要翻好久。
我翻了翻手机里的日历产品,基本上用的都是标准系统控件——如果填写老人的生日,年份得从 2023 往回翻几十个数字。想了想,其实比较简单的做法应该是能填能翻——输入与点选都支持最方便。搜了搜,其实有设计师出过这样的方案:
基本上就做到了:
来源:https://www.smashingmagazine.com/2021/05/frustrating-design-patterns-birthday-picker/
以前写过这一篇,翻出来了,自己看一看,再想想,不同的环境下,现在应该用哪些板斧,解决当下的问题。
-
小公司,可能缺钱、缺人,而且大概率缺安全意识——总觉得黑客离自己很远,倒霉事不会落到自己头上。
二十年前,信息安全的倒霉事,确实多数人碰不上。但环境随时间流逝而变化。现在,骇客常常写了蠕虫全网传播病毒,不守好,就中招。现在,中国的法律法规逐渐完善,对数据、隐私、安全有了严格的要求,不守好,有法律责任。
随手列几个可供搜索的关键词:勒索病毒、财务诈骗、用户数据泄漏、数据出境……你可以搜一搜,搜过之后,将自己代入,考虑一下:如果是自己遇到这类事情,而且事前毫无准备,会怎样。
知识星球是小公司,且我曾在信息安全行业里摸爬滚打过一些年头,因此或许我这方面的三板斧,你可以参考。
工作一:梳理风险并分类。
我们的做法很简单粗暴,就将日常工作中发现的可能存在安全风险的地方都列出来,并且分到三大类中。这三类分别是:出事会死的、最好别出事的、无所谓的。
对我们来说,出事会死的至少有这么几项:资金(钱不能被偷走、不能错乱)、内容(社区类产品,内容安全是红线)、备份(业务数据不能坏、不能丢)、防黑(如果黑客轻易攻进来了,任何事情都有可能发生)。
工作二:针对出事会死的风险,探索行业最佳实践。
主要盯“出事会死”的,最好别出事的和无所谓的,都可以放后面。
拿知识星球来说,针对上面那些“出事会死”的事情,我们摸索了一些做法。
资金:用户方面,多种提现风控措施、审计方面多重多次对账。
内容:产品上有风控能力与策略,人员上有总编把握尺度,另外寻求合作伙伴的 AI、人力资源、培训等投入。
备份:对代码、文件、数据库均有增量、异地备份,且不定期做恢复演练。
防黑:这方面的技术工作比较多,比如安全域划分、漏洞管理、双因素认证、零信任网管、防病毒、渗透测试、众测、实时监测与报警、业务操作审计等——这方面要做,还是需要有专业人员把关。
因为明白了出事会死的几件大事,精力可以完全扑在上面。该找专业公司、团队服务就得找。
工作三:检查结果并持续改进。
所有出事会死的风险点,在一轮改进中,大概率仍然会留下漏洞,因此还需要检查、评估改进的效果。
然后,回到工作一,继续梳理当前最危险的风险点。如此循环往复。一轮一轮地优化——切记,不是做一次就能完美的。
最后,如果希望系统性地解决安全问题,那还是别用这三板斧了,建议老老实实找到专业公司,从资产盘点和风险评估开始,系统分析,整体解决。
打算给自己一个稍有点仪式感的“工作暗示”:
- 带上头戴耳机,并且开启“专注”音乐。
- 打开番茄钟。
则表示我要进入一段高度专注的工作时间。昨天试了一天,发现工作效率明显提升,看来值得长期做。