Что, почему и как отвечать на вопросы безопасности
Опубликовано: 2021-08-20У вас есть много вариантов решений, которые помогут вам оформить анкету безопасности.
Когда дело доходит до ответа на вопросник безопасности, вариантов меньше, но вы будете рады узнать, что существуют решения, которые помогут вам в том, что некоторые считают кропотливым ручным повторяющимся процессом.
Анкеты безопасности существуют, чтобы организации могли убедиться, что их данные будут защищены при передаче, использовании и хранении у сторонних поставщиков. Потребители требуют, чтобы их личные, финансовые, медицинские и другие данные всегда были защищены. В большинстве отраслей существуют правила соответствия, обеспечивающие соблюдение минимальных стандартов защиты.
Чтобы доказать соответствие, поставщики должны заполнить анкеты безопасности в рамках оценки рисков.
Традиционно анкеты безопасности поступают в виде электронной таблицы или другого загружаемого документа. Технологические решения, автоматизирующие процесс ответов на эти анкеты, могут оказаться незаменимыми, если вы хотите сэкономить время и обеспечить последовательность при заполнении анкет.
Существует растущая тенденция онлайн-порталов с анкетами по безопасности, которые усложняют автоматизацию и требуют, чтобы поставщики отвечали на большее количество вопросов один за другим. Хотя существуют некоторые технологии и методы, которые помогут ускорить ответы на вопросы анкеты безопасности на онлайн-порталах, стратегии автоматизации в значительной степени зависят от проприетарных сторонних интеграций, которые могут быть дорогостоящими и могут применяться только к одному «разновидности» безопасности.
Как поставщик, который будет сталкиваться со все более сложными анкетами по безопасности, вы должны ответить на них эффективно и всесторонне.
Что такое анкета безопасности?
Анкета безопасности используется, когда организации необходимо оценить, будут ли ее данные в безопасности, когда они находятся вне ее контроля, как правило, в руках поставщика.
Потребители и клиенты доверяют организациям свои деловые и личные данные, предполагая, что они будут в безопасности, пока они находятся под контролем этой организации. Организации должны гарантировать, что любое физическое или юридическое лицо за пределами организации поддерживает минимальный уровень безопасности, равный уровню организации.
Другими словами, если у вас есть телохранитель с черным поясом по карате, который повсюду ходит с вами, чтобы убедиться, что ваш кошелек в безопасности, вы не можете позволить никому одолжить ваш кошелек, если только у его телохранителя также нет хотя бы черного пояса по карате. И оба телохранителя должны быть там, когда вы передаете свой кошелек, хотя место, где происходит передача, также должно быть полностью безопасным.
Анкеты безопасности обычно поступают из одного из следующих трех мест:
- Создайте свою собственную, обычно в виде электронной таблицы, которая включает оценку всех минимальных требований безопасности, необходимых для доступа к вашим данным (например, «Заполните эту форму, чтобы доказать, что ваш телохранитель так же хорош, как и мой телохранитель»).
- Купите свой собственный. Вы можете замахнуться на заборы и оценить все с помощью чего-то вроде опросника SIG (стандартизированный сбор информации). Или вы можете оценить конкретный риск, скажем, с помощью Nessus, который представляет собой инструмент оценки сетевой безопасности.*
- Возьмите анкету безопасности, которая находится в открытом доступе. Некоторые некоммерческие организации предоставляют анкеты, которые охватывают стандарты, согласованные членами единомышленников. Одним из таких примеров является опросник Инициативы по оценке консенсуса (CAIQ), который публикуется Альянсом безопасности облачных вычислений (CSA).
Одна вещь, которой не является анкета безопасности, — это анкета должной осмотрительности (DDQ) . Есть два основных отличия. Во-первых, DDQ не так детализированы и больше сосредоточены на процессе. Вы можете получить DDQ, когда организация захочет узнать, как вы будете соблюдать их стандарты и удовлетворять их потребности. Он находится в анкете безопасности, где вам нужно будет предоставить доказательства.
Во-вторых, DDQ обычно приходят раньше в процессе продажи, чем анкета безопасности. Думайте о DDQ как о первом фильтре. Организации считают, что если вы не знаете, как выполнить требования на этапе DDQ, то не стоит тратить время на детали в процессе продаж.
Это не обязательно означает, что анкеты безопасности следует рассматривать как ключевые вехи в процессе продаж. Они могут появляться на ранней стадии, как DDQ, но они также могут появляться на стадии демонстрации в процессе продаж или даже публиковаться после закрытия, когда планы адаптации начинают обретать форму. Получение анкеты безопасности не является показателем вашего возможного успеха. Но несвоевременное и точное реагирование, безусловно, может погубить сделку.
Зачем нужны анкеты безопасности?
В прежние времена программные приложения размещались дома или в помещении, что означало, что владелец данных всегда владел ими. Анкеты безопасности все еще были, но они были гораздо менее задействованы.
С переходом на SaaS данные и важные бизнес-приложения доверяются третьей стороне. Прежде чем организация внедрит решение SaaS, она должна быть уверена в двух вещах с точки зрения безопасности. Во-первых, все его данные будут в безопасности у поставщика этого решения SaaS.
Во-вторых, приложение будет доступно, когда оно необходимо, и будет соответствовать согласованным контрольным показателям времени безотказной работы (например, вы не хотите, чтобы система управления персоналом отключалась непосредственно перед обработкой платежной ведомости). Анкеты безопасности получили широкое распространение в результате натиска решений SaaS.
Тем не менее, анкеты по безопасности оценивают не только аспекты, характерные для безопасности данных, такие как шифрование или хранение. Вопросы могут касаться сетевой безопасности, процессов аудита и соответствия требованиям и даже физической безопасности вашего местоположения, и это лишь некоторые из них. Дело в том, что анкеты становятся все более распространенными, длинными и сложными по двум основным причинам.
Во-первых, решения SaaS становятся все более сложными и взаимосвязанными. Редко существует полностью автономное бизнес-приложение. Им часто нужно общаться друг с другом, чтобы помочь организациям достичь более крупной цели.
Чем больше приложений должны взаимодействовать друг с другом, тем больше подверженность риску, что приводит к более строгим оценкам безопасности.
Во-вторых, угрозы постоянно развиваются. Не существует такой вещи, как 100% безопасная система, прежде всего потому, что независимо от того, насколько безопасными и интеллектуальными становятся системы, где-то всегда будет человеческий отпечаток пальца.
88%
утечек данных можно объяснить человеческим фактором.
Источник: журнал CISO.
От систем голосования до сетей распределения топлива и крупных розничных продавцов — злоумышленники могут быстро разворачиваться и направлять кибератаки везде, где они находят слабое место.
Чего ожидают рецензенты анкет безопасности?
Честный, прямой и полный ответ. И уважать их время. Обратите внимание на инструкции. Некоторые вопросы требуют кратких, прямых ответов. Другие требуют подробных объяснений о типах применяемых средств контроля.
Даже при поддержке автоматизации вам придется продумывать каждый ответ, чтобы убедиться, что на него ответили правильно. Если требуется ответ, состоящий из двух частей, всегда давайте краткое описание вашего ответа. Это особенно важно, когда вам нужно ответить «нет» или «не применимо».
Ваш ответ не всегда должен быть утвердительным. Не говорите «да», потому что у вас есть планы реализовать что-то. Эти планы становятся обязательствами, которые вы, возможно, не сможете выполнить. Никогда не отвечайте утвердительно, если вы не можете это сделать. Всегда ожидайте, что клиент потребует доказательства.
Будьте прямолинейны. Используйте активный залог. Краткость имеет значение. Иногда вопросы задаются по-разному несколько раз. Избегайте копирования и вставки и, возможно, звучания уклончиво. Не тратьте время на попытки угадать приоритеты рецензентов. Они редко раскрывают то, что является обязательным. Предположим, что команды по соблюдению требований и управлению рисками будут тщательно анализировать все ответы.
Ваша цель должна состоять в том, чтобы получить как можно более полный ответ. Чем полнее ответ, тем меньше вероятность того, что у вас будут последующие действия — чем раньше будет завершена оценка рисков, тем раньше сделка может быть закрыта. Вы же не хотите, чтобы ответ на вопросник по безопасности задержал сделку. Они появляются позже в процессе продаж, и несколько циклов последующих действий или разъяснений замедлят процесс, что бесконечно расстроит вашу команду по продажам.
Ключевые компоненты анкеты безопасности
В большинстве случаев анкеты безопасности оценивают широкий спектр мер безопасности. Ожидайте вопросы по нескольким типам безопасности.
Безопасность «Аромат» | Пример вопроса |
Безопасность приложений | Есть ли у вашего веб-приложения SSL-сертификат? |
Аудит и соответствие | Как часто вы проводите аудит на предмет соблюдения Закона о конфиденциальности потребителей штата Калифорния (CCPA)? |
Непрерывность бизнеса | Как ваше приложение продолжает работать в случае сбоя? |
Аварийное восстановление | В случае утечки данных, сколько времени вам понадобится, чтобы уведомить нас? |
Изменить управление | Каково определение экстренного изменения? |
Безопасность данных/информации | Каким рекомендациям следует ваша программа безопасности? |
Конфиденциальность данных | Каков процесс резервного копирования ваших данных? |
Управление шифрованием | Использует ли продукт шифрование или другие криптографические методы? |
Физическая охрана | Вы работаете в общем офисе? |
Управление и управление рисками | Ведете ли вы учет событий, связанных с безопасностью? |
HR | Обучаете ли вы своих сотрудников тому, как обнаруживать кибератаки? |
Управление идентификацией и доступом | Предлагает ли ваше приложение единый вход (SSO)? |
Стороннее управление | Передаете ли вы функции безопасности сторонним поставщикам? |
Управление уязвимостями | Какое программное обеспечение или методы вы используете для проведения анализа уязвимостей? |
Многие вопросы и требования к содержанию подпадают под один из следующих четырех компонентов.
1. Сертификаты соответствия безопасности
Подтверждение сертификатов соответствия требованиям безопасности является наиболее часто запрашиваемой частью информации в анкете по безопасности. Примеры сертификатов соответствия требованиям безопасности включают Service Organization Control 2 (SOC 2), Международную организацию по стандартизации (ISO) и Cybersecurity Framework Национального института стандартов и рамок (NIST CSF).
2. Политики кибербезопасности и программные документы
Скорее всего, это займет у вас больше всего времени. Они охватывают множество областей, включая информационную, физическую, прикладную, инфраструктурную и сетевую безопасность. Эти вопросы позволяют оценить вашу ИТ-безопасность, конфиденциальность данных и политики устойчивости бизнеса. Иногда вас попросят предоставить полный документ политики. В других случаях вас попросят открыть определенные разделы.
3. Процедуры безопасности
В этом компоненте организации хотят оценить ваши процедуры для защиты информации, данных и систем клиентов.
Вопросы и пожелания могут касаться:
- Процедуры обучения сотрудников по вопросам безопасности
- Процедуры исправления, обновления и устранения уязвимостей на серверах или настольных компьютерах
- Процедуры управления инцидентами в случае нарушения безопасности или другого инцидента
- План аварийного восстановления и обеспечения непрерывности бизнеса в случае длительного простоя
- Мониторинг и отслеживание вредоносной активности
4. ИТ-риски и меры по их снижению
Если организация собирается взять на себя ваш риск, добавив вас в качестве поставщика, она должна знать, во что ввязывается. Что еще более важно, они хотят знать, что вы уже делаете для снижения риска.
Вы увидите такие запросы, как:
- Отправьте план управления рисками
- Определите список рисков, которые могут напрямую повлиять на наши данные и информационные системы.
- Опишите свою методологию оценки рисков
- Перечислите элементы управления безопасностью для снижения рисков
- Перечислите персонал/роли, ответственные за управление рисками
Обратите внимание, что у вас, вероятно, уже есть ответы на многие из этих вопросов. Вопрос где они находятся? Это ключ к более быстрому заполнению анкет безопасности.
5 советов, как быстрее отвечать на вопросы анкеты безопасности
Поскольку в результате распространения SaaS (и инфраструктуры как услуги [IaaS] и платформы как услуги [PaaS]) появляется все больше анкет по безопасности, точность, эффективность и повторяемость будут иметь важное значение для беспрепятственного ответа на несколько анкет каждый год. Эти пять советов помогут.
Внедрите искусственный интеллект и машинное обучение для автоматизации ответов
Решения по автоматизации уже существуют. Как ни странно, они тоже SaaS. Что важно, создаете ли вы свое собственное решение или ищете поставщика, так это то, что решение имеет возможности AI/ML, позволяющие делать больше, чем просто копировать и вставлять. Ответ — это нечто большее, чем просто поиск ответа; Вы должны быть в состоянии найти лучший ответ, быстро.
Разработайте решение для управления контентом, чтобы упростить поиск и обновление ответов.
Скорее всего, у вас уже есть ответы на большинство вопросов по безопасности. Обычно проблема заключается в том, что документы, в которых лежат эти ответы, разрознены, дублируются, устарели, могут иметь только ограниченный доступ и не доступны для поиска. Централизация вашего контента решит эту проблему.
Следуйте рекомендациям по сокращению времени обработки и повышению точности.
Ваши внутренние и внешние механизмы сотрудничества будут способствовать улучшению здесь. В дополнение к автоматизации с поддержкой AI / ML, также можно автоматизировать постановку заданий экспертам в предметной области для ответа и проверки. Чтобы избежать разочаровывающих дополнительных вопросов, которые могут возникнуть в результате неполного или неточного ответа, важно, чтобы ваша команда работала в ногу со временем.
Определите решение SaaS, поддерживающее технологию прямого взаимодействия со сторонними онлайн-порталами.
Автоматизация AI/ML лучше всего работает с загружаемыми формами, такими как электронные таблицы, документы или PDF-файлы. Интернет-порталы доставляют больше хлопот, и на момент написания этой статьи их можно было автоматизировать только за счет внутренних партнерских отношений между издателем вопросников безопасности и поставщиками решений для респондентов.
Одна из технологий, которая может помочь, — это портал расширения браузера, который связывается с вашей библиотекой контента. Они помогают вам быстрее работать с онлайн-порталом, поскольку вам не нужно переключаться между приложениями для доступа к ответам.
Заполните анкеты безопасности раньше срока клиента
Это изображает мастерство и добрую волю. Это также дает вашему клиенту больше уверенности в том, что вы серьезно относитесь к безопасности и уважаете его драгоценное время.
Не позволяйте опросникам по безопасности ограничивать доход
Ответы на вопросы безопасности в той или иной форме станут частью процесса адаптации поставщика в обозримом будущем. Исходя из текущей ситуации, вы можете ожидать, что анкеты по безопасности будут расти в размерах и усложняться.
Планируется, что расходы на кибербезопасность превысят 1 триллион долларов, а на сторонних поставщиков приходится 63% утечек данных. Организациям потребуется больше гарантий того, что их данные будут в безопасности и что их приложения будут доступны.
Внедрив бизнес-процессы, которые проходят от приема анкеты до отправки, максимально автоматизировав процесс ответа и улучшив совместную работу, чтобы специалисты в данной области не отвлекались от работы, вы можете ускорить и упростить ответы на анкеты. Ваша цель — не допустить, чтобы анкеты безопасности стали узким местом в процессе продаж.