Co, dlaczego i jak odpowiadać na kwestionariusze bezpieczeństwa
Opublikowany: 2021-08-20Masz wiele opcji rozwiązań, które pomogą Ci wydać kwestionariusz bezpieczeństwa.
Jeśli chodzi o odpowiedź na kwestionariusz bezpieczeństwa, jest mniej opcji, ale z przyjemnością dowiesz się, że istnieją rozwiązania, które pomogą Ci w tym, co niektórzy uważają za żmudny, ręczny, powtarzalny proces.
Kwestionariusze bezpieczeństwa istnieją, dzięki czemu organizacje mogą sprawdzić, czy ich dane będą bezpieczne podczas przesyłania, użytkowania i przechowywania u dostawców zewnętrznych. Konsumenci domagają się, aby ich dane prywatne, finansowe, medyczne i inne były przez cały czas zabezpieczone. W większości branż istnieją przepisy dotyczące zgodności, które zapewniają spełnienie minimalnych standardów ochrony.
Aby udowodnić zgodność, dostawcy muszą wypełnić kwestionariusze bezpieczeństwa w ramach oceny ryzyka.
Tradycyjnie kwestionariusze bezpieczeństwa przychodzą w formie arkusza kalkulacyjnego lub innego dokumentu do pobrania. Rozwiązania technologiczne, które automatyzują proces udzielania odpowiedzi na te kwestionariusze, mogą być niezbędne, jeśli chcesz zaoszczędzić czas i zapewnić spójność podczas wypełniania kwestionariuszy.
Istnieje rosnąca tendencja do tworzenia portali z kwestionariuszami bezpieczeństwa online, które utrudniają automatyzację i wymagają od dostawców odpowiedzi na więcej pytań jeden po drugim. Chociaż istnieją pewne technologie i techniki, które pomogą przyspieszyć udzielanie odpowiedzi na kwestionariusze bezpieczeństwa w portalach internetowych, strategie automatyzacji w dużej mierze opierają się na zastrzeżonych integracjach firm trzecich, które mogą być kosztowne i mogą dotyczyć tylko jednego „smaku” bezpieczeństwa.
Jako dostawca, który będzie miał do czynienia z coraz większą liczbą coraz bardziej skomplikowanych kwestionariuszy bezpieczeństwa, masz wyzwanie, aby odpowiedzieć na nie skutecznie i wyczerpująco.
Co to jest kwestionariusz bezpieczeństwa?
Kwestionariusz bezpieczeństwa jest używany, gdy organizacja musi ocenić, czy jej dane będą bezpieczne, gdy jest poza ich kontrolą, zwykle w rękach dostawcy.
Konsumenci i klienci powierzają organizacjom swoje dane biznesowe i prywatne, zakładając, że będą one bezpieczne pod kontrolą tej organizacji. Organizacje muszą zapewnić, że każda osoba lub podmiot spoza organizacji utrzymuje minimalny poziom bezpieczeństwa równy poziomowi organizacji.
Innymi słowy, jeśli masz ochroniarza z czarnym pasem w karate, który chodzi z tobą wszędzie, aby upewnić się, że twój portfel jest bezpieczny, nie możesz pozwolić nikomu pożyczyć twojego portfela, chyba że jego ochroniarz ma również co najmniej czarny pas w karate. I obaj ochroniarze muszą być na miejscu, kiedy przekazujesz portfel, mimo że miejsce, w którym następuje przekazanie, również powinno być całkowicie bezpieczne.
Kwestionariusze bezpieczeństwa zazwyczaj pochodzą z jednego z trzech następujących miejsc:
- Zbuduj swój własny, zwykle w arkuszu kalkulacyjnym, który zawiera ocenę wszystkich minimalnych wymagań bezpieczeństwa niezbędnych do uzyskania dostępu do Twoich danych (np. „Wypełnij ten formularz, aby udowodnić, że Twój ochroniarz jest tak samo dobry jak mój ochroniarz”).
- Kup własne. Możesz huśtać się do płotów i oceniać wszystko za pomocą kwestionariusza SIG (Standardized Information Gathering). Możesz też ocenić konkretne ryzyko za pomocą, powiedzmy, Nessus, który jest narzędziem do oceny bezpieczeństwa sieci.*
- Wypożycz publicznie dostępny kwestionariusz bezpieczeństwa. Niektóre organizacje non-profit dostarczają kwestionariusze, które obejmują standardy uzgodnione przez członków podobnie myślących profesjonalistów. Jednym z takich przykładów jest Kwestionariusz Consensus Assessment Initiative (CAIQ), publikowany przez Cloud Security Alliance (CSA).
Kwestionariusz bezpieczeństwa nie jest kwestionariuszem należytej staranności (DDQ) . Istnieją dwie główne różnice. Po pierwsze, DDQ nie są tak szczegółowe i skupiają się bardziej na procesie. Możesz otrzymać DDQ, gdy organizacja chce wiedzieć, w jaki sposób spełnisz ich standardy i spełnisz ich potrzeby. Znajduje się w kwestionariuszu bezpieczeństwa, w którym musisz dostarczyć dowód.
Po drugie, DDQ zwykle pojawiają się wcześniej w procesie sprzedaży w porównaniu z kwestionariuszem bezpieczeństwa. Pomyśl o DDQ jako o pierwszym filtrze. Organizacje uważają, że jeśli nie wiesz, jak zachować zgodność na etapie DDQ, nie warto poświęcać czasu na szczegóły w dalszej części procesu sprzedaży.
Nie musi to oznaczać, że kwestionariusze bezpieczeństwa powinny być postrzegane jako kluczowe etapy procesu sprzedaży. Mogą pojawić się na początku, jak DDQ, ale mogą również pojawić się na etapie demonstracyjnym w dalszej części procesu sprzedaży, a nawet ogłosić zamknięcie, gdy plany onboardingowe zaczną nabierać kształtu. Otrzymanie kwestionariusza bezpieczeństwa nie jest wskaźnikiem Twojego ostatecznego sukcesu. Ale nieodpowiadanie na czas i nieprecyzyjnie może z pewnością zabić umowę.
Dlaczego potrzebne są kwestionariusze bezpieczeństwa?
W dawnych czasach aplikacje były hostowane w domu lub na miejscu, co oznaczało, że właściciel danych był w ich posiadaniu przez cały czas. Nadal istniały kwestionariusze bezpieczeństwa, ale były one znacznie mniej zaangażowane.
Wraz ze zmianą SaaS dane i aplikacje o znaczeniu krytycznym dla firmy są zaufane podmiotom zewnętrznym. Zanim organizacja wdroży rozwiązanie SaaS, musi być pewna dwóch rzeczy, z punktu widzenia bezpieczeństwa. Po pierwsze, wszystkie jego dane będą bezpieczne u dostawcy tego rozwiązania SaaS.
Po drugie, aplikacja będzie dostępna wtedy, gdy jest potrzebna i zgodna z ustalonymi testami czasu sprawności (np. nie chcesz, aby system kadrowy wyłączał się tuż przed przetworzeniem listy płac). Kwestionariusze bezpieczeństwa rozprzestrzeniły się w wyniku ataku rozwiązań SaaS.
Niemniej jednak kwestionariusze bezpieczeństwa oceniają więcej niż tylko aspekty specyficzne dla bezpieczeństwa danych, takie jak szyfrowanie lub przechowywanie. Pytania mogą dotyczyć bezpieczeństwa sieci, procesów audytu i zgodności, a nawet fizycznego bezpieczeństwa Twoich lokalizacji, żeby wymienić tylko kilka. Faktem jest, że kwestionariusze stają się coraz powszechniejsze, dłuższe i bardziej złożone z dwóch głównych powodów.
Po pierwsze, rozwiązania SaaS rosną pod względem złożoności i wzajemnych połączeń. Rzadko zdarza się, aby aplikacja biznesowa była całkowicie samodzielna. Często muszą ze sobą rozmawiać, aby pomóc organizacjom osiągnąć większy cel.
Im więcej aplikacji musi się ze sobą komunikować, tym większa ekspozycja na ryzyko, co skutkuje bardziej rygorystycznymi ocenami bezpieczeństwa.
Po drugie, zagrożenia nieustannie ewoluują. Nie ma czegoś takiego, jak system w 100% bezpieczny, przede wszystkim dlatego, że bez względu na to, jak bezpieczne i inteligentne są systemy, zawsze gdzieś znajdzie się ludzki odcisk palca.
88%
naruszeń danych można przypisać błędom ludzkim.
Źródło: CISO Mag
Od systemów głosowania, przez sieci dystrybucji paliwa, po dużych detalistów, źli aktorzy mogą szybko przestawić się na bezpośrednie ataki cybernetyczne wszędzie tam, gdzie znajdą słabość.
Czego oczekują recenzenci kwestionariuszy bezpieczeństwa?
Szczera, bezpośrednia i kompletna odpowiedź. I szanować ich czas. Zwróć uwagę na instrukcje. Niektóre pytania wymagają krótkich, bezpośrednich odpowiedzi. Inne wymagają szczegółowych wyjaśnień dotyczących rodzajów stosowanych kontroli.
Nawet przy wsparciu automatyzacji będziesz musiał przemyśleć każdą odpowiedź, aby upewnić się, że jest ona prawidłowa. Jeśli wymagana jest odpowiedź dwuczęściowa, zawsze podaj krótki opis swojej odpowiedzi. Jest to szczególnie ważne, gdy musisz odpowiedzieć „nie” lub „nie dotyczy”.
Twoja odpowiedź nie zawsze musi być twierdząca. Nie mów tak, ponieważ planujesz coś wdrożyć. Te plany stają się zobowiązaniami, których możesz nie być w stanie spełnić. Nigdy nie odpowiadaj twierdząco, jeśli nie możesz dostarczyć. Zawsze oczekuj, że klient poprosi o dowód.
Bądź bezpośredni. Użyj aktywnego głosu. Sprawy zwięzłe. Czasami pytania zadawane są wielokrotnie na różne sposoby. Unikaj kopiowania i wklejania oraz prawdopodobnie brzmiącego wymijająco. Nie trać czasu na odgadywanie priorytetów recenzentów. Rzadko ujawniają to, co jest obowiązkowe. Załóżmy, że zespoły ds. zgodności i ryzyka będą przeglądać wszystkie odpowiedzi za pomocą gęstego grzebienia.
Twoim celem powinno być uzyskanie jak najpełniejszej odpowiedzi. Im pełniejsza odpowiedź, tym mniejsze prawdopodobieństwo dalszych działań – im szybciej zakończy się ocena ryzyka, tym szybciej transakcja może zostać zamknięta. Nie chcesz, aby odpowiedź na kwestionariusz bezpieczeństwa wstrzymała transakcję. Pojawiają się później w procesie sprzedaży, a wielokrotne rundy działań następczych lub wyjaśnień spowolnią proces, co bez końca będzie frustrować Twój zespół sprzedaży.
Kluczowe elementy kwestionariusza bezpieczeństwa
W większości przypadków kwestionariusze bezpieczeństwa oceniają szerokie spektrum kontroli bezpieczeństwa. Oczekuj pytań dotyczących wielu rodzajów zabezpieczeń.
Bezpieczeństwo „Smak” | Przykładowe pytanie |
Bezpieczeństwo aplikacji | Czy Twoja aplikacja internetowa posiada certyfikat SSL? |
Audyt i zgodność | Jak często przeprowadzasz kontrolę zgodności z ustawą California Consumer Privacy Act (CCPA)? |
Ciągłości działania | W jaki sposób Twoja aplikacja pozostaje w eksploatacji w przypadku awarii? |
Odzyskiwanie po awarii | W przypadku naruszenia danych, jak długo zajmie Ci powiadomienie nas? |
Kontrola zmian | Jaka jest definicja zmiany awaryjnej? |
Bezpieczeństwo danych/informacji | Jakimi wytycznymi kieruje się Twój program bezpieczeństwa? |
Prywatność danych | Jak wygląda proces tworzenia kopii zapasowej danych? |
Zarządzanie szyfrowaniem | Czy produkt wykorzystuje szyfrowanie lub inne techniki kryptograficzne? |
Bezpieczeństwo fizyczne | Pracujesz we wspólnej przestrzeni biurowej? |
Zarządzanie i zarządzanie ryzykiem | Czy prowadzisz rejestr zdarzeń związanych z bezpieczeństwem? |
HR | Czy szkolisz swoich pracowników w zakresie wykrywania cyberataków? |
Zarządzanie tożsamością i dostępem | Czy Twoja aplikacja oferuje jednokrotne logowanie (SSO)? |
Zarządzanie przez firmy zewnętrzne | Czy zlecasz funkcje bezpieczeństwa zewnętrznym dostawcom? |
Zarządzanie podatnościami | Jakiego oprogramowania lub technik używasz do przeprowadzania analiz podatności? |
Wiele pytań i wymagań dotyczących treści będzie podlegać jednemu z następujących czterech elementów.
1. Certyfikaty zgodności bezpieczeństwa
Potwierdzenie certyfikatów zgodności bezpieczeństwa jest najczęściej wymaganą informacją w kwestionariuszu bezpieczeństwa. Przykłady certyfikatów zgodności bezpieczeństwa obejmują Service Organization Control 2 (SOC 2), Międzynarodową Organizację Normalizacyjną (ISO) oraz Narodowy Instytut Standardów i Ram Cyberbezpieczeństwa (NIST CSF).
2. Polityki i dokumenty dotyczące polityki cyberbezpieczeństwa
Będą to prawdopodobnie najbardziej czasochłonne. Obejmują one wiele obszarów, w tym bezpieczeństwo informacji, fizyczne, aplikacji, infrastruktury i sieci. Te pytania oceniają Twoje zasady dotyczące bezpieczeństwa IT, prywatności danych i odporności biznesowej. Czasami zostaniesz poproszony o dostarczenie pełnego dokumentu polisy. Innym razem zostaniesz poproszony o wyciągnięcie określonych sekcji.
3. Procedury bezpieczeństwa
W tym komponencie organizacje chcą ocenić Twoje procedury w celu ochrony informacji, danych i systemów klientów.
Pytania i prośby mogą koncentrować się na:
- Procedury szkolenia pracowników ze świadomości bezpieczeństwa
- Procedury łatania, aktualizowania i eliminowania luk w zabezpieczeniach serwerów lub komputerów stacjonarnych
- Procedury zarządzania incydentami w przypadku naruszenia bezpieczeństwa lub innego incydentu
- Plan odtwarzania po awarii i ciągłości działania w przypadku przedłużających się przestojów
- Monitorowanie i śledzenie złośliwej aktywności
4. Ryzyka IT i kontrole łagodzące
Jeśli organizacja zamierza zaakceptować Twoje ryzyko, dodając Cię jako dostawcę, musi wiedzieć, w co się pakuje. Co ważniejsze, chcą wiedzieć, co już robisz, aby zmniejszyć ryzyko.
Zobaczysz zapytania takie jak:
- Prześlij plan zarządzania ryzykiem
- Zidentyfikuj listę zagrożeń, które mogą bezpośrednio wpłynąć na nasze systemy danych i informacji
- Opisz swoją metodologię oceny ryzyka
- Wymień kontrole bezpieczeństwa w celu ograniczenia ryzyka
- Wymień personel/role odpowiedzialne za zarządzanie ryzykiem
Zauważ, że prawdopodobnie masz już wiele odpowiedzi na te pytania. Pytanie brzmi, gdzie one się znajdują? To jest klucz do szybszego odpowiadania na kwestionariusze bezpieczeństwa.
5 wskazówek, jak szybciej odpowiadać na kwestionariusze bezpieczeństwa
Ponieważ coraz więcej kwestionariuszy bezpieczeństwa pojawia się w wyniku rozprzestrzeniania się SaaS (oraz infrastruktury jako usługi [IaaS] i platformy jako usługi [PaaS]), dokładność, wydajność i powtarzalność będą niezbędne do bezproblemowego odpowiadania na wiele kwestionariuszy każdego roku. Te pięć wskazówek pomoże.
Wdrażaj sztuczną inteligencję i uczenie maszynowe, aby zautomatyzować odpowiedzi
Rozwiązania automatyzacji już istnieją. Jak na ironię, są też SaaS. Co ważne, niezależnie od tego, czy tworzysz własne, czy poszukujesz dostawcy, rozwiązanie ma możliwości AI/ML do robienia czegoś więcej niż tylko kopiowania i wklejania. Odpowiedź to coś więcej niż znalezienie jakiejkolwiek odpowiedzi; musisz być w stanie szybko znaleźć najlepszą odpowiedź.
Opracuj rozwiązanie do zarządzania treścią, aby usprawnić wyszukiwanie i aktualizowanie odpowiedzi
Prawdopodobnie masz już większość odpowiedzi na kwestionariusze bezpieczeństwa. Zwykle problem polega na tym, że dokumenty, w których znajdują się te odpowiedzi, są silosowane, zduplikowane, nieaktualne, mogą umożliwiać tylko ograniczony dostęp i nie można ich przeszukiwać. Centralizacja treści rozwiąże ten problem.
Postępuj zgodnie z najlepszymi praktykami, aby skrócić czas realizacji przy jednoczesnej poprawie dokładności
Twoje wewnętrzne i zewnętrzne mechanizmy współpracy przyczynią się do poprawy tutaj. Oprócz automatyzacji wykorzystującej sztuczną inteligencję/uczenie maszynowe, można również zautomatyzować przypisywanie zadań ekspertom w danej dziedzinie w celu udzielenia odpowiedzi i sprawdzenia. Zapewnienie zespołowi zamknięcia jest niezbędne, aby uniknąć frustrujących pytań uzupełniających, które mogą wynikać z niekompletnej lub niedokładnej odpowiedzi.
Zidentyfikuj rozwiązanie SaaS, które obsługuje technologię umożliwiającą bezpośrednią interakcję z portalami internetowymi innych firm
Automatyzacja AI/ML działa najlepiej w formularzach do pobrania, takich jak arkusze kalkulacyjne, dokumenty lub pliki PDF. Portale internetowe są bardziej kłopotliwe i, w chwili pisania tego tekstu, można je zautomatyzować tylko dzięki partnerstwu zaplecza między wystawcą kwestionariusza bezpieczeństwa a dostawcami rozwiązań odpowiadających.
Jedną z technologii, która może pomóc, jest portal rozszerzeń przeglądarki, który zawiera linki do biblioteki treści. Pomagają w szybszym korzystaniu z portalu internetowego, ponieważ nie trzeba przełączać się między aplikacjami, aby uzyskać dostęp do odpowiedzi.
Wypełnij ankiety bezpieczeństwa przed terminem klienta
To obrazuje biegłość i dobrą wolę. Zapewnia to również Twojemu klientowi większy spokój ducha, ponieważ poważnie traktujesz bezpieczeństwo, szanując jego cenny czas.
Nie pozwól, aby kwestionariusze bezpieczeństwa dławiły przychody
Odpowiadanie na kwestionariusze bezpieczeństwa w takiej czy innej formie będzie częścią procesu onboardingu dostawcy w dającej się przewidzieć przyszłości. W oparciu o obecną sytuację można oczekiwać, że kwestionariusze bezpieczeństwa będą nadal rosły pod względem wielkości i zaawansowania.
Wydatki na cyberbezpieczeństwo mają przekroczyć 1 bilion dolarów, a dostawcy zewnętrzni odpowiadają za 63% naruszeń bezpieczeństwa danych. Organizacje będą chciały mieć więcej gwarancji, że ich dane będą bezpieczne, a ich aplikacje będą dostępne.
Wdrażając procesy biznesowe, które przeprowadzają kwestionariusz bezpieczeństwa od przyjęcia do przesłania, automatyzując jak najwięcej procesu odpowiedzi i poprawiając współpracę, aby utrzymać ekspertów w danej dziedzinie na zadaniu, możesz przyspieszyć i uprościć sposób wypełniania kwestionariuszy. Twoim celem jest, aby kwestionariusze bezpieczeństwa nigdy nie były wąskim gardłem w procesie sprzedaży.