Apa, Mengapa, dan Bagaimana Menjawab Kuesioner Keamanan
Diterbitkan: 2021-08-20Anda memiliki banyak pilihan solusi untuk membantu Anda mengeluarkan kuesioner keamanan.
Dalam hal menjawab kuesioner keamanan, ada lebih sedikit pilihan, tetapi Anda akan senang mengetahui bahwa ada solusi untuk membantu Anda dengan apa yang oleh sebagian orang dianggap sebagai proses manual yang melelahkan dan berulang.
Kuesioner keamanan ada sehingga organisasi dapat memverifikasi bahwa data mereka akan aman saat transit, digunakan, dan disimpan dengan vendor pihak ketiga. Konsumen menuntut agar data pribadi, keuangan, medis, dan lainnya diamankan setiap saat. Di sebagian besar industri, ada peraturan kepatuhan untuk memastikan standar perlindungan minimum terpenuhi.
Untuk membuktikan kepatuhan, vendor harus melengkapi kuesioner keamanan sebagai bagian dari penilaian risiko.
Secara tradisional, kuesioner keamanan tiba dalam bentuk spreadsheet atau dokumen lain yang dapat diunduh. Solusi teknologi yang mengotomatiskan proses respons terhadap kuesioner ini sangat diperlukan jika Anda ingin menghemat waktu dan memastikan konsistensi saat menjawab kuesioner.
Ada tren yang berkembang dari portal kuesioner keamanan online yang membuat otomatisasi menjadi rumit dan mengharuskan vendor untuk menjawab lebih banyak pertanyaan satu per satu. Meskipun ada beberapa teknologi dan teknik yang akan membantu mempercepat menjawab kuesioner keamanan di portal online, strategi untuk otomatisasi sangat bergantung pada integrasi pihak ketiga berpemilik yang bisa mahal dan mungkin hanya berlaku untuk satu "rasa" keamanan.
Sebagai vendor yang akan menghadapi lebih banyak kuesioner keamanan dengan tingkat kecanggihan yang semakin meningkat, Anda memiliki tantangan untuk menjawabnya secara efisien dan komprehensif.
Apa itu kuesioner keamanan?
Kuesioner keamanan digunakan ketika sebuah organisasi perlu menilai apakah data mereka akan aman ketika berada di luar kendali mereka, biasanya di tangan vendor.
Konsumen dan klien mempercayai organisasi dengan data bisnis dan pribadi mereka dengan asumsi bahwa itu akan aman saat berada di bawah kendali organisasi itu. Organisasi harus memastikan bahwa setiap orang atau entitas di luar organisasi mempertahankan tingkat keamanan minimum yang setara dengan keamanan organisasi.
Dengan kata lain, jika Anda memiliki pengawal dengan sabuk hitam karate yang pergi dengan Anda ke mana-mana untuk memastikan dompet Anda aman, Anda tidak dapat membiarkan siapa pun meminjam dompet Anda kecuali pengawal mereka juga memiliki setidaknya sabuk hitam karate. Dan kedua pengawal itu harus ada di sana ketika Anda menyerahkan dompet Anda, meskipun tempat penyerahan itu seharusnya juga benar-benar aman.
Kuesioner keamanan umumnya berasal dari salah satu dari tiga tempat berikut:
- Buat sendiri, biasanya dalam spreadsheet, yang mencakup penilaian semua persyaratan keamanan minimum yang diperlukan untuk mengakses data Anda (yaitu "Isi formulir ini untuk membuktikan bahwa pengawal Anda sebaik pengawal saya.").
- Beli sendiri. Anda dapat mengayunkan pagar dan mengevaluasi semuanya dengan sesuatu seperti Kuesioner SIG (Pengumpulan Informasi Standar). Atau Anda dapat menilai risiko tertentu dengan, misalnya, Nessus, yang merupakan alat penilaian keamanan jaringan.*
- Pinjam kuesioner keamanan yang tersedia untuk umum. Beberapa organisasi nirlaba memberikan kuesioner yang mencakup standar yang disepakati oleh anggota profesional yang berpikiran sama. Salah satu contohnya adalah Consensus Assessment Initiative Questionnaire (CAIQ), yang diterbitkan oleh Cloud Security Alliance (CSA).
Satu hal yang bukan merupakan kuesioner keamanan adalah kuesioner due diligence (DDQ) . Ada dua perbedaan utama. Satu, DDQ tidak sedetail dan lebih fokus pada proses. Anda mungkin menerima DDQ ketika sebuah organisasi ingin tahu bagaimana Anda akan mematuhi standar mereka dan memenuhi kebutuhan mereka. Ada dalam kuesioner keamanan di mana Anda harus memberikan buktinya.
Dua, DDQ biasanya tiba lebih awal dalam proses penjualan dibandingkan dengan kuesioner keamanan. Pikirkan DDQ sebagai filter pertama. Organisasi memperkirakan bahwa jika Anda tidak tahu cara mematuhi pada tahap DDQ, maka tidak ada gunanya menghabiskan waktu untuk detail lebih lanjut dalam proses penjualan.
Itu tidak berarti bahwa kuesioner keamanan harus dilihat sebagai tonggak penting dalam proses penjualan. Mereka dapat muncul lebih awal seperti DDQ, tetapi mereka juga dapat muncul di tahap demo lebih jauh dalam proses penjualan atau bahkan menutup saat rencana orientasi mulai terbentuk. Menerima kuesioner keamanan bukanlah indikasi kesuksesan Anda. Tetapi tidak merespons tepat waktu dan akurat tentu saja dapat mematikan kesepakatan.
Mengapa kuesioner keamanan diperlukan?
Di masa lalu, aplikasi perangkat lunak di-host di rumah, atau di tempat, yang berarti bahwa pemilik data selalu memilikinya. Kuesioner keamanan masih ada, tetapi keterlibatannya jauh lebih sedikit.
Dengan peralihan SaaS, data dan aplikasi penting bisnis dipercayakan kepada pihak ketiga. Sebelum organisasi menggunakan solusi SaaS, organisasi harus yakin akan dua hal, dari perspektif keamanan. Satu, semua datanya akan aman dengan vendor solusi SaaS itu.
Kedua, aplikasi akan tersedia saat dibutuhkan dan sesuai dengan tolok ukur uptime yang disepakati (misalnya Anda tidak ingin sistem SDM mati sebelum memproses penggajian). Kuesioner keamanan telah berkembang biak sebagai akibat dari gempuran solusi SaaS.
Namun demikian, kuesioner keamanan menilai lebih dari sekedar aspek khusus untuk keamanan data, seperti enkripsi atau penyimpanan. Pertanyaan dapat mencakup keamanan jaringan, proses audit dan kepatuhan, dan bahkan keamanan fisik lokasi Anda. Faktanya adalah bahwa kuesioner menjadi lebih umum, lebih lama, dan lebih kompleks karena dua alasan utama.
Pertama, solusi SaaS berkembang dalam kompleksitas dan interkonektivitas. Jarang ada aplikasi bisnis yang sepenuhnya standalone. Mereka sering perlu berbicara satu sama lain untuk membantu organisasi mencapai tujuan yang lebih besar.
Semakin banyak aplikasi yang perlu berbicara satu sama lain, semakin besar eksposur risiko yang lebih besar, yang menghasilkan penilaian keamanan yang lebih ketat.
Kedua, ancaman terus berkembang. Tidak ada sistem yang 100% aman, terutama karena tidak peduli seberapa aman dan cerdasnya sistem, akan selalu ada sidik jari manusia di suatu tempat.
88%
pelanggaran data dapat dikaitkan dengan kesalahan manusia.
Sumber: CISO Mag
Dari sistem pemungutan suara hingga jaringan distribusi bahan bakar hingga pengecer besar, pelaku kejahatan dapat berputar dengan cepat untuk mengarahkan serangan siber di mana pun mereka menemukan kelemahannya.
Apa yang diharapkan oleh pengulas kuesioner keamanan?
Respons yang jujur, langsung, dan lengkap. Dan untuk menghargai waktu mereka. Perhatikan petunjuknya. Beberapa pertanyaan membutuhkan jawaban singkat dan langsung. Lainnya memerlukan penjelasan rinci tentang jenis kontrol di tempat.
Bahkan dengan dukungan otomatisasi, Anda harus memikirkan setiap respons untuk memastikannya dijawab dengan benar. Jika jawaban dua bagian diperlukan, selalu berikan deskripsi singkat tentang jawaban Anda. Ini sangat penting ketika Anda harus menjawab “tidak” atau “tidak berlaku”.
Tanggapan Anda tidak harus selalu setuju. Jangan katakan ya karena Anda memiliki rencana untuk mengimplementasikan sesuatu. Rencana tersebut menjadi kewajiban yang mungkin tidak dapat Anda penuhi. Jangan pernah menjawab dengan tegas jika Anda tidak dapat menyampaikannya. Selalu mengharapkan klien untuk meminta bukti.
Langsung. Gunakan suara aktif. Singkatan penting. Terkadang pertanyaan diajukan dengan cara yang berbeda beberapa kali. Hindari menyalin dan menempel dan mungkin terdengar mengelak. Jangan buang waktu mencoba menebak prioritas pengulas. Mereka jarang mengungkapkan apa yang wajib. Asumsikan kepatuhan dan tim risiko akan meninjau semua tanggapan dengan sisir bergigi halus.
Tujuan Anda harus memiliki tanggapan selengkap mungkin. Semakin lengkap responsnya, semakin kecil kemungkinan Anda untuk melakukan tindak lanjut – semakin cepat penilaian risiko selesai, semakin cepat kesepakatan dapat ditutup. Anda tidak ingin respons kuesioner keamanan menghambat kesepakatan. Mereka datang kemudian dalam proses penjualan dan beberapa putaran tindak lanjut atau klarifikasi akan memperlambat proses, yang akan membuat tim penjualan Anda frustrasi tanpa akhir.
Komponen kunci dari kuesioner keamanan
Dalam kebanyakan kasus, kuesioner keamanan menilai spektrum kontrol keamanan yang luas. Harapkan pertanyaan di berbagai jenis keamanan.
Keamanan "Rasa" | Contoh Pertanyaan |
Keamanan Aplikasi | Apakah aplikasi web Anda memiliki sertifikat SSL? |
Audit & Kepatuhan | Seberapa sering Anda mengaudit kepatuhan California Consumer Privacy Act (CCPA)? |
Keberlangsungan bisnis | Jika terjadi pemadaman, bagaimana aplikasi Anda tetap dapat digunakan? |
Pemulihan bencana | Jika terjadi pelanggaran data, berapa lama waktu yang Anda perlukan untuk memberi tahu kami? |
Ubah Kontrol | Apa definisi dari perubahan darurat? |
Keamanan Data/Informasi | Pedoman apa yang diikuti oleh program keamanan Anda? |
Privasi data | Bagaimana proses untuk membuat cadangan data Anda? |
Manajemen Enkripsi | Apakah produk menggunakan enkripsi atau teknik kriptografi lainnya? |
Keamanan fisik | Apakah Anda bekerja di ruang kantor bersama? |
Tata Kelola & Manajemen Risiko | Apakah Anda menyimpan catatan peristiwa keamanan? |
SDM | Apakah Anda melatih karyawan Anda tentang cara mendeteksi serangan dunia maya? |
Manajemen Identitas & Akses | Apakah aplikasi Anda menawarkan sistem masuk tunggal (SSO)? |
Manajemen pihak ketiga | Apakah Anda mengalihdayakan fungsi keamanan ke penyedia pihak ketiga? |
Manajemen Kerentanan | Perangkat lunak atau teknik apa yang Anda gunakan untuk melakukan analisis kerentanan? |
Banyak pertanyaan dan persyaratan konten akan termasuk dalam salah satu dari empat komponen berikut.
1. Sertifikat kepatuhan keamanan
Bukti sertifikasi kepatuhan keamanan adalah informasi yang paling sering diminta dalam kuesioner keamanan. Contoh sertifikat kepatuhan keamanan termasuk Service Organization Control 2 (SOC 2), International Organization for Standardization (ISO), dan National Institute of Standards and Framework's Cybersecurity Framework (NIST CSF).
2. Kebijakan keamanan siber dan dokumen kebijakan
Ini kemungkinan akan memakan waktu Anda yang paling banyak. Mereka mencakup banyak bidang, termasuk informasi, fisik, aplikasi, infrastruktur, dan keamanan jaringan. Pertanyaan-pertanyaan ini menilai kebijakan keamanan TI, privasi data, dan ketahanan bisnis Anda. Terkadang Anda akan diminta untuk memberikan dokumen kebijakan lengkap. Di lain waktu Anda akan diminta untuk mengeluarkan bagian tertentu.
3. Prosedur keamanan
Komponen ini adalah tempat organisasi ingin menilai prosedur Anda untuk melindungi informasi, data, dan sistem pelanggan.
Pertanyaan dan permintaan dapat berfokus pada:
- Prosedur pelatihan kesadaran keamanan karyawan
- Prosedur untuk menambal, meningkatkan, dan mengurangi kerentanan pada server atau desktop
- Prosedur manajemen insiden jika terjadi pelanggaran keamanan atau insiden lainnya
- Pemulihan bencana dan rencana kesinambungan bisnis jika terjadi waktu henti yang berkepanjangan
- Memantau dan melacak aktivitas jahat
4. Risiko TI dan pengendalian mitigasi
Jika sebuah organisasi akan menerima risiko Anda dengan menambahkan Anda sebagai vendor, maka mereka perlu tahu apa yang mereka hadapi. Yang lebih penting, mereka ingin tahu apa yang sudah Anda lakukan untuk mengurangi risiko.
Anda akan melihat pertanyaan seperti:
- Kirimkan rencana manajemen risiko
- Identifikasi daftar risiko yang dapat berdampak langsung pada data dan sistem informasi kami
- Jelaskan metodologi penilaian risiko Anda
- Buat daftar kontrol keamanan untuk mengurangi risiko
- Buat daftar personel/peran yang bertanggung jawab atas manajemen risiko
Perhatikan bahwa Anda mungkin sudah memiliki banyak jawaban atas pertanyaan-pertanyaan ini. Pertanyaannya adalah di mana mereka berada? Itulah kunci untuk menjawab kuesioner keamanan lebih cepat.
5 tips untuk menanggapi kuesioner keamanan lebih cepat
Dengan lebih banyak kuesioner keamanan yang datang sebagai akibat dari proliferasi SaaS (dan infrastruktur sebagai layanan [IaaS] dan platform sebagai layanan [PaaS]), akurasi, efisiensi, dan pengulangan akan sangat penting untuk merespons beberapa kuesioner dengan mulus setiap tahun. Lima tips ini akan membantu.
Terapkan AI dan pembelajaran mesin untuk mengotomatiskan respons
Solusi otomatisasi sudah ada. Ironisnya, mereka juga SaaS. Yang penting, baik Anda membangun sendiri atau mencari vendor, adalah bahwa solusi tersebut memiliki kemampuan AI/ML untuk melakukan lebih dari sekadar menyalin dan menempel. Ada lebih banyak tanggapan daripada menemukan jawaban apa pun; Anda harus dapat menemukan jawaban terbaik, cepat.
Kembangkan solusi manajemen konten untuk menyederhanakan pencarian dan pembaruan jawaban
Anda mungkin sudah memiliki sebagian besar jawaban atas kuesioner keamanan. Biasanya, masalahnya adalah bahwa dokumen-dokumen di mana jawaban-jawaban ini terletak di dalam silo, diduplikasi, usang, hanya memungkinkan akses terbatas, dan tidak dapat dicari. Memusatkan konten Anda akan menyelesaikan masalah ini.
Ikuti praktik terbaik untuk mengurangi waktu penyelesaian sekaligus meningkatkan akurasi
Mekanisme kolaborasi internal dan eksternal Anda akan mendorong peningkatan di sini. Selain otomatisasi yang diaktifkan AI/ML, memberi isyarat tugas untuk dijawab dan ditinjau oleh pakar materi pelajaran juga dapat diotomatiskan. Membuat tim Anda sejalan sangat penting untuk menghindari pertanyaan lanjutan yang membuat frustrasi yang dapat diakibatkan oleh respons yang tidak lengkap atau tidak akurat.
Identifikasi solusi SaaS yang mendukung teknologi untuk berinteraksi langsung dengan portal online pihak ketiga
Otomatisasi AI/ML berfungsi paling baik pada formulir yang dapat diunduh, seperti spreadsheet, dokumen, atau PDF. Portal online lebih merepotkan dan, pada tulisan ini, hanya dapat diotomatisasi melalui kemitraan backend antara penerbit kuesioner keamanan dan penyedia solusi responden.
Salah satu teknologi yang dapat membantu adalah portal ekstensi browser yang menautkan ke pustaka konten Anda. Mereka membantu Anda bekerja melalui portal online lebih cepat karena Anda tidak perlu beralih antar aplikasi untuk mengakses jawaban.
Lengkapi kuesioner keamanan sebelum tenggat waktu klien
Ini menggambarkan kemahiran dan niat baik. Ini juga memberi klien Anda ketenangan pikiran yang lebih besar bahwa Anda menganggap serius keamanan sambil menghormati waktu berharga mereka.
Jangan biarkan kuesioner keamanan menghambat pendapatan
Menjawab kuesioner keamanan dalam satu atau lain bentuk akan menjadi bagian dari proses orientasi vendor di masa mendatang. Berdasarkan lanskap saat ini, Anda dapat mengharapkan kuesioner keamanan terus bertambah dalam ukuran dan kecanggihan.
Pengeluaran keamanan siber dijadwalkan melebihi $ 1 triliun, dan vendor pihak ketiga menyumbang 63% dari pelanggaran data. Organisasi akan menginginkan lebih banyak jaminan bahwa data mereka akan aman dan aplikasi mereka akan tersedia.
Dengan menerapkan proses bisnis yang mengambil kuesioner keamanan dari penerimaan hingga pengiriman, mengotomatiskan sebanyak mungkin proses respons, dan meningkatkan kolaborasi untuk menjaga agar pakar materi tetap bertugas, Anda dapat mempercepat dan menyederhanakan cara Anda menjawab kuesioner. Tujuan Anda adalah untuk tidak pernah membiarkan kuesioner keamanan menjadi hambatan dalam proses penjualan.