O que, por que e como responder a questionários de segurança
Publicados: 2021-08-20Você tem muitas opções de soluções para ajudá-lo a emitir um questionário de segurança.
Quando se trata de responder a um questionário de segurança, há menos opções, mas você ficará feliz em saber que existem soluções para ajudá-lo com o que alguns consideram um processo meticulosamente manual e repetitivo.
Os questionários de segurança existem para que as organizações possam verificar se seus dados estarão seguros em trânsito, em uso e em repouso com fornecedores terceirizados. Os consumidores exigem que seus dados privados, financeiros, médicos e outros sejam protegidos o tempo todo. Na maioria das indústrias, existem regulamentos de conformidade para garantir que os padrões mínimos de proteção sejam atendidos.
Para comprovar a conformidade, os fornecedores devem preencher questionários de segurança como parte de uma avaliação de risco.
Tradicionalmente, os questionários de segurança chegam na forma de uma planilha ou outro documento para download. Soluções tecnológicas que automatizam o processo de resposta a esses questionários podem ser indispensáveis se você quiser economizar tempo e garantir consistência ao responder questionários.
Há uma tendência crescente de portais de questionários de segurança online que tornam a automação complicada e exigem que os fornecedores respondam a mais perguntas uma a uma. Embora existam algumas tecnologias e técnicas que ajudarão a acelerar a resposta a questionários de segurança em portais online, as estratégias de automação dependem muito de integrações proprietárias de terceiros que podem ser caras e podem se aplicar apenas a um “sabor” de segurança.
Como um fornecedor que enfrentará mais questionários de segurança cada vez mais sofisticados, você tem o desafio de respondê-los de forma eficiente e abrangente.
O que é um questionário de segurança?
Um questionário de segurança é usado quando uma organização precisa avaliar se seus dados estarão seguros quando estiverem fora de seu controle, normalmente nas mãos de um fornecedor.
Consumidores e clientes confiam nas organizações seus dados comerciais e privados com a suposição de que estarão seguros enquanto estiverem sob o controle dessa organização. As organizações devem garantir que qualquer pessoa ou entidade fora da organização mantenha um nível mínimo de segurança igual ao da organização.
Em outras palavras, se você tem um guarda-costas com faixa preta em karatê que vai com você em todos os lugares para garantir que sua carteira esteja segura, você não pode deixar ninguém emprestar sua carteira a menos que o guarda-costas também tenha pelo menos uma faixa preta em karatê. E ambos os guarda-costas precisam estar lá quando você entregar sua carteira, mesmo que o local onde a transferência ocorre também seja completamente seguro.
Os questionários de segurança geralmente vêm de um dos três lugares a seguir:
- Crie o seu próprio, geralmente em uma planilha, que inclua uma avaliação de todos os requisitos mínimos de segurança necessários para acessar seus dados (ou seja, “Preencha este formulário para provar que seu guarda-costas é tão bom quanto meu guarda-costas.”).
- Compre o seu próprio. Você pode balançar as cercas e avaliar tudo com algo como um Questionário SIG (Reunião de Informações Padronizadas). Ou você pode avaliar um risco específico com, digamos, Nessus, que é uma ferramenta de avaliação de segurança de rede.*
- Emprestar um questionário de segurança que está disponível publicamente. Algumas organizações sem fins lucrativos fornecem questionários que abrangem os padrões acordados por uma associação de profissionais com a mesma opinião. Um exemplo é o Consensus Assessment Initiative Questionnaire (CAIQ), publicado pela Cloud Security Alliance (CSA).
Uma coisa que um questionário de segurança não é é um questionário de due diligence (DDQ) . Existem duas diferenças principais. Primeiro, os DDQs não são tão detalhados e se concentram mais no processo. Você pode receber um DDQ quando uma organização quiser saber como você cumprirá seus padrões e atenderá às suas necessidades. Está no questionário de segurança onde você terá que fornecer a prova.
Dois, os DDQs geralmente chegam mais cedo no processo de vendas em comparação com um questionário de segurança. Pense no DDQ como o primeiro filtro. As organizações imaginam que, se você não souber como cumprir o estágio de DDQ, não vale a pena gastar tempo com os detalhes mais adiante no processo de vendas.
Isso não significa necessariamente que os questionários de segurança devam ser vistos como marcos importantes no processo de vendas. Eles podem aparecer no início como DDQs, mas também podem aparecer no estágio de demonstração mais adiante no processo de vendas ou até mesmo após o fechamento quando os planos de integração começam a tomar forma. Receber um questionário de segurança não é uma indicação de seu eventual sucesso. Mas não responder a tempo e com precisão certamente poderia matar um negócio.
Por que os questionários de segurança são necessários?
Antigamente, os aplicativos de software eram hospedados em casa ou no local, o que significava que o proprietário dos dados os possuía o tempo todo. Ainda havia questionários de segurança, mas eram muito menos envolvidos.
Com a mudança de SaaS, dados e aplicativos críticos de negócios são confiados a terceiros. Antes de uma organização integrar uma solução SaaS, ela precisa estar confiante em duas coisas, do ponto de vista da segurança. Primeiro, todos os seus dados estarão seguros com o fornecedor dessa solução SaaS.
Segundo, o aplicativo estará disponível quando for necessário e compatível com os benchmarks de tempo de atividade acordados (por exemplo, você não quer que o sistema de RH fique inativo logo antes de processar a folha de pagamento). Os questionários de segurança proliferaram como resultado do ataque de soluções SaaS.
No entanto, os questionários de segurança avaliam mais do que apenas aspectos específicos da segurança de dados, como criptografia ou armazenamento. As perguntas podem abranger segurança de rede, processos de auditoria e conformidade e até mesmo a segurança física de seus locais, só para citar algumas. O fato é que os questionários estão se tornando mais comuns, mais longos e mais complexos por duas razões principais.
Primeiro, as soluções SaaS estão crescendo em complexidade e interconectividade. Raramente existe um aplicativo de negócios totalmente autônomo. Eles geralmente precisam conversar entre si para ajudar as organizações a atingir um objetivo maior.
Quanto mais aplicativos precisarem conversar entre si, maior será a exposição ao risco, o que resulta em avaliações de segurança mais rigorosas.
Em segundo lugar, as ameaças estão em constante evolução. Não existe um sistema 100% seguro, principalmente porque não importa quão seguros e inteligentes sejam os sistemas, sempre haverá uma impressão digital humana em algum lugar.
88%
das violações de dados pode ser atribuída a erro humano.
Fonte: CISO Mag
De sistemas de votação a redes de distribuição de combustível e grandes varejistas, os agentes mal-intencionados podem rapidamente direcionar os ataques cibernéticos onde quer que encontrem uma fraqueza.
O que os revisores do questionário de segurança esperam?
Uma resposta honesta, direta e completa. E respeitar o seu tempo. Preste atenção nas instruções. Algumas perguntas exigem respostas breves e diretas. Outros exigem explicações detalhadas sobre os tipos de controles em vigor.
Mesmo com o suporte de automação, você terá que pensar em cada resposta para garantir que seja respondida corretamente. Se for necessária uma resposta em duas partes, sempre forneça uma breve descrição de sua resposta. Isso é especialmente importante quando você tem que responder “não” ou “não se aplica”.
Sua resposta nem sempre precisa ser afirmativa. Não diga sim porque você tem planos de implementar algo. Esses planos tornam-se obrigações que você pode não conseguir cumprir. Nunca responda afirmativamente se você não puder entregar. Sempre espere que o cliente peça provas.
Seja direto. Use uma voz ativa. A concisão importa. Às vezes, as perguntas são feitas de maneiras diferentes várias vezes. Evite copiar e colar e possivelmente parecer evasivo. Não perca tempo tentando adivinhar as prioridades dos revisores. Raramente revelam o que é obrigatório. Assuma que as equipes de conformidade e risco revisarão todas as respostas com um pente fino.
Seu objetivo deve ser ter uma resposta tão completa quanto possível. Quanto mais completa a resposta, menor a probabilidade de você ter acompanhamentos – quanto mais cedo a avaliação de risco for concluída, mais cedo o negócio poderá ser fechado. Você não quer que a resposta do questionário de segurança atrase o negócio. Eles vêm mais tarde no processo de vendas e várias rodadas de acompanhamento ou esclarecimentos retardarão o processo, o que frustrará sua equipe de vendas sem fim.
Principais componentes de um questionário de segurança
Na maioria dos casos, os questionários de segurança avaliam um amplo espectro de controles de segurança. Espere perguntas em vários tipos de segurança.
Segurança “Sabor” | Exemplo de pergunta |
Segurança do aplicativo | Sua aplicação web tem um certificado SSL? |
Auditoria e Conformidade | Com que frequência você audita a conformidade com a Lei de Privacidade do Consumidor da Califórnia (CCPA)? |
Continuidade de Negócios | Em caso de interrupção, como seu aplicativo permanece em serviço? |
Recuperação de desastres | Em caso de violação de dados, quanto tempo você levará para nos notificar? |
Controle de Mudanças | Qual é a definição de uma mudança de emergência? |
Segurança de dados/informações | Quais diretrizes seu programa de segurança segue? |
Dados privados | Qual é o processo para fazer backup de seus dados? |
Gerenciamento de criptografia | O produto usa criptografia ou outras técnicas criptográficas? |
Segurança física | Você trabalha em um escritório compartilhado? |
Governança e Gestão de Riscos | Você mantém um registro de eventos de segurança? |
RH | Você treina seus funcionários sobre como detectar ataques cibernéticos? |
Gerenciamento de identidade e acesso | Seu aplicativo oferece logon único (SSO)? |
Gerenciamento de terceiros | Você terceiriza funções de segurança para provedores de terceiros? |
Gerenciamento de vulnerabilidades | Quais softwares ou técnicas você usa para realizar análises de vulnerabilidade? |
Muitas perguntas e requisitos de conteúdo se enquadram em um dos quatro componentes a seguir.
1. Certificados de conformidade de segurança
A prova de certificações de conformidade de segurança é a informação mais solicitada em um questionário de segurança. Exemplos de certificados de conformidade de segurança incluem Service Organization Control 2 (SOC 2), International Organization for Standardization (ISO) e National Institute of Standards and Framework's Cybersecurity Framework (NIST CSF).
2. Políticas de segurança cibernética e documentos de política
Estes provavelmente serão os mais demorados. Eles cobrem muitas áreas, incluindo informações, física, aplicativos, infraestrutura e segurança de rede. Essas perguntas avaliam suas políticas de segurança de TI, privacidade de dados e resiliência de negócios. Às vezes, você será solicitado a fornecer o documento de política completo. Outras vezes, você será solicitado a retirar seções específicas.
3. Procedimentos de segurança
Este componente é onde as organizações desejam avaliar seus procedimentos para proteger as informações, dados e sistemas do cliente.
Perguntas e solicitações podem se concentrar em:
- Procedimentos para treinamento de conscientização de segurança de funcionários
- Procedimentos para corrigir, atualizar e mitigar vulnerabilidades em servidores ou desktops
- Procedimentos de gerenciamento de incidentes em caso de violação de segurança ou outro incidente
- Plano de recuperação de desastres e continuidade de negócios em caso de tempo de inatividade prolongado
- Monitoramento e rastreamento de atividades maliciosas
4. Riscos de TI e controles de mitigação
Se uma organização aceitar seu risco adicionando você como fornecedor, ela precisa saber no que está se metendo. Ainda mais importante, eles querem saber o que você já está fazendo para mitigar o risco.
Você verá perguntas como:
- Envie um plano de gerenciamento de risco
- Identificar a lista de riscos que podem impactar diretamente nossos dados e sistemas de informação
- Descreva sua metodologia de avaliação de risco
- Liste os controles de segurança em vigor para mitigar os riscos
- Listar o pessoal/funções responsáveis pela gestão de risco
Observe que você provavelmente já tem muitas das respostas para essas perguntas. A questão é onde eles estão localizados? Essa é a chave para responder a questionários de segurança mais rapidamente.
5 dicas para responder a questionários de segurança mais rapidamente
Com mais questionários de segurança vindo como resultado da proliferação de SaaS (e infraestrutura como serviço [IaaS] e plataforma como serviço [PaaS]), precisão, eficiência e repetibilidade serão essenciais para responder perfeitamente a vários questionários todos os anos. Essas cinco dicas vão ajudar.
Implemente IA e aprendizado de máquina para automatizar respostas
Já existem soluções de automação. Ironicamente, eles também são SaaS. O importante, quer você crie o seu próprio ou procure um fornecedor, é que a solução tem recursos de IA/ML para fazer mais do que apenas copiar e colar. Há mais em uma resposta do que encontrar qualquer resposta; você tem que ser capaz de encontrar a melhor resposta, rápido.
Desenvolver uma solução de gerenciamento de conteúdo para agilizar a busca e atualização de respostas
Você provavelmente já tem a maioria das respostas aos questionários de segurança. Normalmente, o problema é que os documentos onde estão essas respostas são isolados, duplicados, desatualizados, podem permitir apenas acesso limitado e não são pesquisáveis. Centralizar seu conteúdo resolverá esse problema.
Siga as práticas recomendadas para reduzir o tempo de resposta e melhorar a precisão
Seus mecanismos de colaboração internos e externos impulsionarão a melhoria aqui. Além da automação habilitada para IA/ML, a marcação de tarefas para especialistas no assunto responderem e revisarem também pode ser automatizada. Colocar sua equipe em sintonia é essencial para evitar essas frustrantes perguntas de acompanhamento que podem resultar de uma resposta incompleta ou imprecisa.
Identifique uma solução SaaS que suporte tecnologia para interagir diretamente com portais online de terceiros
A automação de IA/ML funciona melhor em formulários para download, como planilhas, documentos ou PDFs. Os portais online são mais problemáticos e, no momento da redação deste artigo, só podem ser automatizados por meio de parcerias de back-end entre o emissor do questionário de segurança e os provedores de soluções de resposta.
Uma tecnologia que pode ajudar é um portal de extensão do navegador que se vincula à sua biblioteca de conteúdo. Eles ajudam você a trabalhar mais rapidamente em um portal online porque você não precisa alternar entre aplicativos para acessar as respostas.
Preencha questionários de segurança antes do prazo do cliente
Isso retrata proficiência e boa vontade. Também dá ao seu cliente maior tranquilidade de que você leva a segurança a sério, respeitando seu valioso tempo.
Não deixe que os questionários de segurança estrangulem a receita
Responder a questionários de segurança de uma forma ou de outra fará parte do processo de integração do fornecedor no futuro próximo. Com base no cenário atual, você pode esperar que os questionários de segurança continuem a crescer em tamanho e sofisticação.
Os gastos com segurança cibernética devem ultrapassar US$ 1 trilhão, e fornecedores terceirizados respondem por 63% das violações de dados. As organizações vão querer mais garantias de que seus dados estarão seguros e de que seus aplicativos estarão disponíveis.
Ao implementar processos de negócios que levam um questionário de segurança da entrada ao envio, automatizando o máximo possível do processo de resposta e melhorando a colaboração para manter os especialistas no assunto na tarefa, você pode acelerar e simplificar a forma como responde aos questionários. Seu objetivo é nunca deixar que os questionários de segurança sejam um gargalo para o processo de vendas.