Ce, de ce și cum privind răspunsul la chestionare de securitate
Publicat: 2021-08-20Aveți multe opțiuni de soluții care să vă ajute să emitați un chestionar de securitate.
Când vine vorba de a răspunde la un chestionar de securitate, există mai puține opțiuni, dar veți fi bucuroși să aflați că există soluții care să vă ajute în ceea ce unii consideră a fi un proces minuțios manual, repetitiv.
Chestionarele de securitate există astfel încât organizațiile să poată verifica dacă datele lor vor fi în siguranță în tranzit, în utilizare și în repaus cu furnizori terți. Consumatorii cer ca datele lor private, financiare, medicale și de altă natură să fie securizate în orice moment. În majoritatea industriilor, există reglementări de conformitate pentru a asigura îndeplinirea standardelor minime de protecție.
Pentru a dovedi conformitatea, furnizorii trebuie să completeze chestionare de securitate ca parte a unei evaluări a riscurilor.
În mod tradițional, chestionarele de securitate ajung sub forma unei foi de calcul sau a unui alt document descărcabil. Soluțiile tehnologice care automatizează procesul de răspuns la aceste chestionare pot fi indispensabile dacă doriți să economisiți timp și să asigurați consecvența atunci când răspundeți la chestionare.
Există o tendință în creștere a portalurilor de chestionare de securitate online care fac automatizarea dificilă și impun furnizorilor să răspundă la mai multe întrebări unul câte unul. Deși există unele tehnologii și tehnici care vor ajuta la accelerarea răspunsului la chestionarele de securitate din portalurile online, strategiile de automatizare se bazează în mare măsură pe integrări de proprietate terță parte care pot fi costisitoare și se pot aplica doar unei „arome” de securitate.
În calitate de furnizor care se va confrunta cu mai multe chestionare de securitate cu o sofisticare crescândă, aveți o provocare să le răspundeți eficient și cuprinzător.
Ce este un chestionar de securitate?
Un chestionar de securitate este utilizat atunci când o organizație trebuie să evalueze dacă datele sale vor fi în siguranță atunci când nu sunt sub controlul său, de obicei în mâinile unui furnizor.
Consumatorii și clienții au încredere în organizații cu datele lor de afaceri și private, presupunând că acestea vor fi în siguranță în timp ce se află sub controlul respectivei organizații. Organizațiile trebuie să se asigure că orice persoană sau entitate din afara organizației menține un nivel minim de securitate egal cu cel al organizației.
Cu alte cuvinte, dacă ai un bodyguard cu centură neagră la karate care te însoțește peste tot pentru a se asigura că portofelul tău este în siguranță, nu poți lăsa pe nimeni să-ți împrumute portofelul decât dacă garda de corp are și cel puțin centură neagră la karate. Și ambii gărzi de corp trebuie să fie acolo când vă predați portofelul, chiar dacă locul unde are loc transferul ar trebui să fie complet sigur.
Chestionarele de securitate provin în general dintr-unul dintre următoarele trei locuri:
- Creați-vă propriul, de obicei într-o foaie de calcul, care include o evaluare a tuturor cerințelor minime de securitate necesare pentru a vă accesa datele (adică „Completați acest formular pentru a dovedi că garda dvs. de corp este la fel de bună ca garda mea de corp.”).
- Cumpără-ți pe al tău. Vă puteți legăna pentru garduri și puteți evalua totul cu ceva de genul unui chestionar SIG (Standardized Information Gathering). Sau puteți evalua un risc specific cu, de exemplu, Nessus, care este un instrument de evaluare a securității rețelei.*
- Imprumutați un chestionar de securitate care este disponibil publicului. Unele organizații non-profit furnizează chestionare care cuprind standarde convenite de membrii profesioniști care au aceleași opinii. Un astfel de exemplu este Consensus Assessment Initiative Questionnaire (CAIQ), care este publicat de Cloud Security Alliance (CSA).
Un lucru care nu este un chestionar de securitate este un chestionar de due diligence (DDQ) . Există două diferențe majore. În primul rând, DDQ-urile nu sunt la fel de detaliate și se concentrează mai mult pe proces. Este posibil să primiți un DDQ atunci când o organizație dorește să știe cum veți respecta standardele și nevoile lor. Este în chestionarul de securitate unde va trebui să oferi dovada.
În al doilea rând, DDQ-urile ajung de obicei mai devreme în procesul de vânzare, comparativ cu un chestionar de securitate. Gândiți-vă la DDQ ca la primul filtru. Organizațiile consideră că, dacă nu știți cum să vă conformați la etapa DDQ, atunci nu merită să petreceți timp asupra detaliilor mai departe în procesul de vânzare.
Asta nu înseamnă neapărat că chestionarele de securitate ar trebui privite ca repere cheie în procesul de vânzare. Ele pot apărea devreme ca DDQ-urile, dar pot apărea și în etapa demo mai departe în procesul de vânzări sau chiar pot fi postate când planurile de îmbarcare încep să prindă contur. Primirea unui chestionar de securitate nu este un indiciu al succesului tău eventual. Dar să nu răspunzi la timp și cu precizie, cu siguranță ar putea ucide o afacere.
De ce sunt necesare chestionare de securitate?
Pe vremuri, aplicațiile software erau găzduite în casă sau la premisă, ceea ce însemna că proprietarul datelor era în posesia acestora în orice moment. Mai existau chestionare de securitate, dar erau mult mai puțin implicați.
Odată cu schimbarea SaaS, datele și aplicațiile critice pentru afaceri sunt de încredere unei terțe părți. Înainte ca o organizație să integreze o soluție SaaS, trebuie să aibă încredere în două lucruri, din punct de vedere al securității. În primul rând, toate datele sale vor fi în siguranță cu furnizorul acelei soluții SaaS.
În al doilea rând, aplicația va fi disponibilă atunci când este necesar și va fi conformă cu criteriile de funcționare convenite (de exemplu, nu doriți ca sistemul de resurse umane să se defecteze chiar înainte de procesarea salariilor). Chestionarele de securitate au proliferat ca urmare a atacului soluțiilor SaaS.
Cu toate acestea, chestionarele de securitate evaluează mai mult decât doar aspecte specifice securității datelor, cum ar fi criptarea sau stocarea. Întrebările pot acoperi securitatea rețelei, auditarea și procesele de conformitate și chiar securitatea fizică a locațiilor dvs., pentru a numi doar câteva. Faptul este că chestionarele devin din ce în ce mai comune, mai lungi și mai complexe din două motive principale.
În primul rând, soluțiile SaaS cresc în complexitate și interconectivitate. Rareori există o aplicație de afaceri care este complet independentă. De multe ori au nevoie să vorbească între ei pentru a ajuta organizațiile să atingă un obiectiv mai mare.
Cu cât sunt mai multe aplicații care trebuie să comunice între ele, cu atât este mai mare expunerea la riscuri, ceea ce duce la evaluări de securitate mai stricte.
În al doilea rând, amenințările evoluează constant. Nu există un sistem 100% sigur, în primul rând pentru că, indiferent cât de sigure și inteligente devin sistemele, va exista întotdeauna o amprentă umană undeva.
88%
încălcările datelor pot fi atribuite erorii umane.
Sursa: CISO Mag
De la sistemele de vot la rețelele de distribuție a combustibilului până la comercianții mari cu amănuntul, actorii răi pot pivota rapid pentru a direcționa atacuri cibernetice oriunde găsesc o slăbiciune.
La ce se așteaptă examinatorii chestionarelor de securitate?
Un răspuns sincer, direct și complet. Și să le respecte timpul. Acordați atenție instrucțiunilor. Unele întrebări necesită răspunsuri scurte, directe. Alții necesită explicații detaliate despre tipurile de controale existente.
Chiar și cu suport pentru automatizare, va trebui să vă gândiți la fiecare răspuns pentru a vă asigura că acesta este răspuns corect. Dacă este necesar un răspuns în două părți, furnizați întotdeauna o scurtă descriere a răspunsului dvs. Acest lucru este deosebit de important atunci când trebuie să răspundeți „nu” sau „nu se aplică”.
Răspunsul tău nu trebuie să fie întotdeauna afirmativ. Nu spune da pentru că ai planuri să implementezi ceva. Acele planuri devin obligații pe care este posibil să nu le poți îndeplini. Nu răspundeți niciodată afirmativ dacă nu puteți livra. Așteptați întotdeauna ca clientul să ceară dovezi.
Fii direct. Utilizați o voce activă. Concizia contează. Uneori, întrebările sunt puse în moduri diferite de mai multe ori. Evitați copierea și lipirea și, eventual, să sune evaziv. Nu pierde timpul încercând să ghicească prioritățile recenzenților. Rareori dezvăluie ceea ce este obligatoriu. Să presupunem că echipele de conformitate și de risc vor revizui toate răspunsurile cu un pieptene cu dinți fini.
Scopul tău ar trebui să fie să ai un răspuns cât mai complet posibil. Cu cât răspunsul este mai complet, cu atât este mai puțin probabil să aveți urmăriri – cu cât evaluarea riscului este finalizată mai devreme, cu atât tranzacția se poate încheia mai repede. Nu doriți ca răspunsul la chestionarul de securitate să împiedice afacerea. Acestea vin mai târziu în procesul de vânzări și mai multe runde de urmăriri sau clarificări vor încetini procesul, ceea ce vă va frustra fără sfârșit echipa de vânzări.
Componentele cheie ale unui chestionar de securitate
În majoritatea cazurilor, chestionarele de securitate evaluează un spectru larg de controale de securitate. Așteptați-vă la întrebări pentru mai multe tipuri de securitate.
„Aromă” de securitate | Exemplu de întrebare |
Securitatea aplicației | Aplicația dvs. web are un certificat SSL? |
Audit și conformitate | Cât de des auditați pentru conformitatea California Consumer Privacy Act (CCPA)? |
Continuitatea afacerii | În cazul unei întreruperi, cum rămâne aplicația dvs. în funcțiune? |
Recuperare în caz de dezastru | În cazul unei încălcări a datelor, cât timp vă va dura să ne notificați? |
Schimba controlul | Care este definiția unei schimbări de urgență? |
Securitatea datelor/informațiilor | Ce linii directoare urmează programul dvs. de securitate? |
Confidențialitatea datelor | Care este procesul de salvare a datelor dvs.? |
Managementul criptării | Produsul folosește criptare sau alte tehnici criptografice? |
Siguranță fizică | Lucrezi într-un spațiu de birou comun? |
Guvernare și management al riscului | Păstrați o evidență a evenimentelor de securitate? |
HR | Îți antrenezi angajații cu privire la modul de detectare a atacurilor cibernetice? |
Managementul identității și accesului | Aplicația dvs. oferă conectare unică (SSO)? |
Managementul terților | Externalizați funcțiile de securitate către furnizori terți? |
Managementul vulnerabilităților | Ce software sau tehnici folosiți pentru a efectua analize de vulnerabilitate? |
Multe întrebări și cerințe de conținut se vor încadra în una dintre următoarele patru componente.
1. Certificate de conformitate cu securitatea
Dovada certificărilor de conformitate cu securitatea este cea mai frecventă informație solicitată într-un chestionar de securitate. Exemple de certificate de conformitate cu securitate includ Service Organization Control 2 (SOC 2), International Organization for Standardization (ISO) și National Institute of Standards and Framework's Cybersecurity Framework (NIST CSF).
2. Politici de securitate cibernetică și documente de politică
Acestea vă vor consuma cel mai mult timp. Acestea acoperă o mulțime de domenii, inclusiv informații, fizice, aplicații, infrastructură și securitatea rețelei. Aceste întrebări vă evaluează securitatea IT, confidențialitatea datelor și politicile de rezistență a afacerii. Uneori vi se va cere să furnizați documentul complet al politicii. Alteori vi se va cere să scoateți anumite secțiuni.
3. Proceduri de securitate
Această componentă este locul în care organizațiile doresc să vă evalueze procedurile pentru a proteja informațiile, datele și sistemele clienților.
Întrebările și solicitările se pot concentra pe:
- Proceduri pentru instruirea angajaților în domeniul securității
- Proceduri pentru corecția, actualizarea și atenuarea vulnerabilităților pe servere sau desktop-uri
- Proceduri de gestionare a incidentelor în cazul unei breșe de securitate sau al unui alt incident
- Recuperare în caz de dezastru și plan de continuitate a afacerii în caz de nefuncționare prelungită
- Monitorizarea și urmărirea activităților rău intenționate
4. Riscuri IT și controale de atenuare
Dacă o organizație va accepta riscul dvs. adăugându-vă ca furnizor, atunci trebuie să știe în ce se bagă. Și mai important, vor să știe ce faci deja pentru a reduce riscul.
Veți vedea întrebări precum:
- Trimiteți un plan de management al riscului
- Identificați lista riscurilor care ar putea avea un impact direct asupra datelor și sistemelor noastre informatice
- Descrieți metodologia dvs. de evaluare a riscurilor
- Enumerați controalele de securitate aplicate pentru a reduce riscurile
- Listați personalul/rolurile responsabile cu managementul riscurilor
Rețineți că probabil aveți deja multe dintre răspunsurile la aceste întrebări. Întrebarea este unde sunt amplasate? Aceasta este cheia pentru a răspunde mai rapid la chestionarele de securitate.
5 sfaturi pentru a răspunde mai rapid la chestionarele de securitate
Cu mai multe chestionare de securitate ca urmare a proliferării SaaS (și a infrastructurii ca serviciu [IaaS] și a platformei ca serviciu [PaaS]), acuratețea, eficiența și repetabilitatea vor fi esențiale pentru a răspunde fără probleme la mai multe chestionare în fiecare an. Aceste cinci sfaturi vă vor ajuta.
Implementați inteligența artificială și învățarea automată pentru a automatiza răspunsurile
Soluțiile de automatizare există deja. În mod ironic, sunt și ele SaaS. Ceea ce este important, fie că vă construiți propriul dvs., fie că căutați un furnizor, este că soluția are capabilități AI/ML pentru a face mai mult decât să copiați și să lipiți. Există mai mult la un răspuns decât la găsirea oricărui răspuns; trebuie să poți găsi cel mai bun răspuns, rapid.
Dezvoltați o soluție de management de conținut pentru a simplifica căutarea și actualizarea răspunsurilor
Probabil că aveți deja majoritatea răspunsurilor la chestionarele de securitate. De obicei, problema este că documentele în care se află aceste răspunsuri sunt izolate, duplicate, depășite, pot permite doar acces limitat și nu pot fi căutate. Centralizarea conținutului dvs. va rezolva această problemă.
Urmați cele mai bune practici pentru a reduce timpul de răspuns, îmbunătățind în același timp precizia
Mecanismele dvs. de colaborare interne și externe vor conduce la îmbunătățiri aici. În plus față de automatizarea AI/ML, poate fi automatizată și pregătirea sarcinilor pentru experții în domeniu pentru a răspunde și a revizui. Este esențial să vă puneți echipa în pas pentru a evita acele întrebări frustrante de continuare care pot rezulta dintr-un răspuns incomplet sau inexact.
Identificați o soluție SaaS care acceptă tehnologia pentru a interacționa direct cu portaluri online terțe
Automatizarea AI/ML funcționează cel mai bine pe formulare descărcabile, cum ar fi foi de calcul, documente sau PDF-uri. Portalurile online sunt mai deranjante și, în momentul scrierii acestui articol, pot fi automatizate numai prin parteneriate backend între emitentul chestionarului de securitate și furnizorii de soluții de răspuns.
O tehnologie care vă poate ajuta este un portal de extensii de browser care trimite la biblioteca dvs. de conținut. Ele vă ajută să lucrați mai rapid printr-un portal online, deoarece nu trebuie să comutați între aplicații pentru a accesa răspunsuri.
Completați chestionarele de securitate înainte de termenul limită al clientului
Acest lucru înfățișează competență și bunăvoință. De asemenea, oferă clientului dumneavoastră o mai mare liniște sufletească că luați în serios securitatea, respectând totodată timpul prețios al acestora.
Nu lăsați chestionarele de securitate să pună un control asupra veniturilor
Răspunsul la chestionare de securitate într-o formă sau alta va face parte din procesul de integrare a furnizorului în viitorul apropiat. Pe baza peisajului actual, vă puteți aștepta ca chestionarele de securitate să continue să crească în dimensiune și sofisticare.
Cheltuielile pentru securitatea cibernetică sunt estimate să depășească 1 trilion de dolari, iar furnizorii terți reprezintă 63% din încălcările de date. Organizațiile vor dori mai multe asigurări că datele lor vor fi în siguranță și că aplicațiile lor vor fi disponibile.
Prin implementarea proceselor de afaceri care preiau un chestionar de securitate de la primire până la trimitere, automatizarea cât mai mult posibil din procesul de răspuns și îmbunătățirea colaborării pentru a menține experții în domeniu la sarcină, puteți accelera și simplifica modul în care răspundeți la chestionare. Scopul dvs. este să nu lăsați niciodată chestionarele de securitate să fie un blocaj în procesul de vânzare.