问是否需要一个简单的SAAS安全风险评估应用程序？

EN

很抱歉，如果这个问题对这个站点不太合适的话，我一直在开发一个小型的启动简单的安全风险评估应用程序，主要是为了解决我自己的问题，并希望从经验丰富的安全专业人员那里得到一些反馈。

我认为当前针对以下受众的安全风险评估工具的问题是什么：

• 安全专家:要求在每一家公司重新发明车轮，以确定安全风险评估过程。电子表格是首选的工具，但它们很难管理，没有版本控制，很难协作。企业应用程序(如Archer )在存在时很难使用，并且适合于操作或企业风险，而不是安全风险。很难让业务或It用户执行风险评估，因为他们很难通过，并且需要大量的文本输入和领域专业知识。这增加了安保专业人员用于风险评估的时间，并增加了集中于这一活动的安保资源的数量，而这通常是监管或政策所必须的。
• pen测试人员：通常报告在没有实际评估业务风险的情况下具有技术漏洞评级，部分原因是pen测试组织没有一个简单的工具来将发现更多地放在风险上下文中。这就把责任推给了内部安全小组，减少了获得更多业务的机会。
• 云供应商:通常需要为每个客户完成一个庞大的控件电子表格。这需要时间和人力，它被视为一种遵从性行为，并不能使客户相信他们的风险得到了减轻，从而失去了业务。
• 小企业:不知道如何进行符合法规要求的风险评估，比如PCI。因此，要么雇佣昂贵的联系人，要么聘请顾问。

该应用程序仍处于beta版：http://www.simplesecurityra.com，您可以使用您自己的一个帐户: Google、Twitter、Open-ID等，也可以使用这个演示Google帐户: buyer@simplesecurityra.com密码:buyer@simplesecurityra.com

我现正尝试将下列申请加以区分：

• 简单，例如，与像Archer这样的东西相比，当我在过去使用它时，对于安全风险评估来说太大太复杂了。它已经花了整个团队来建立和管理和使用6个月的培训。我的应用程序应该提供这样的好处:能够使用行业标准方法快速执行风险评估，而不是很难设置。
• 易用性-它有最低限度的文字输入要求和基于滑块的系统，所以非安全的人应该能够使用它。这样就可以将安全风险评估推送到业务和IT部门，而需要更少的安全专家的时间。它还应使小企业更容易遵守要求进行风险评估的规定，而无需聘请昂贵的顾问。它应指导用户在没有顾问的情况下对大多数信息和“情报”进行分类和输入。控件和漏洞库也是内置的，这样就可以很容易地选择它们。
• 使用电子表格进行共享、协作和报告是我见过的最常见的安全风险评估方法。但是，它们需要最初的设置，很难管理，有版本控制和共享问题。我工作过的公司不愿意投资于一个不需要电子表格的数据库的web应用程序。这个应用程序意味着他们不必这样做，它可以通过互联网和移动浏览器访问，但仍然提供了可以定制和添加攻击者、漏洞、轻松更改得分的灵活性。

我主要针对的是金融服务业，因为他们有类似美国FFIEC的规定，其中要求进行风险评估。此外，需要遵守PCI中的风险评估要求的小型企业、需要简单的风险评估方法的小型渗透测试公司和需要有效地向其潜在客户提供风险评估的云供应商。

我对这群安全专业人士的问题是：

• 我所描述的问题真的存在吗？
• 我的应用程序是否成功地解决了它们，或者有什么可以改进的？
• 我上面描述的这4个目标受众会为这样的应用支付月薪吗？为什么或者为什么不？
• 我在应用程序中如何实施风险评估过程，是否有任何技术问题可以改进？

这是为了决定我是投入更多的时间和金钱开发这个应用程序，还是转移到其他方面。提前谢谢。