ماذا ولماذا وكيف الرد على استبيانات الأمن

نشرت: 2021-08-20

لديك العديد من الخيارات للحلول لمساعدتك في إصدار استبيان الأمان.

عندما يتعلق الأمر بالإجابة على استبيان الأمان ، هناك خيارات أقل ، ولكن سيسعدك معرفة أن الحلول موجودة لمساعدتك فيما يعتبره البعض عملية يدوية متكررة بشق الأنفس.

توجد استبيانات الأمان حتى تتمكن المؤسسات من التحقق من أن بياناتها ستكون آمنة أثناء النقل ، وقيد الاستخدام ، وفي بقية البائعين الخارجيين. يطالب المستهلكون بتأمين بياناتهم الخاصة والمالية والطبية وغيرها في جميع الأوقات. في معظم الصناعات ، توجد لوائح الامتثال لضمان تلبية الحد الأدنى من معايير الحماية.

لإثبات الامتثال ، يجب على البائعين إكمال استبيانات الأمان كجزء من تقييم المخاطر.

تقليديًا ، تصل استبيانات الأمان في شكل جدول بيانات أو مستند آخر قابل للتنزيل. يمكن أن تكون الحلول التقنية التي تعمل على أتمتة عملية الاستجابة لهذه الاستبيانات لا غنى عنها إذا كنت تريد توفير الوقت وضمان الاتساق عند الإجابة على الاستبيانات.

هناك اتجاه متزايد لبوابات استبيانات الأمان عبر الإنترنت التي تجعل الأتمتة صعبة وتتطلب من البائعين الإجابة على المزيد من الأسئلة واحدًا تلو الآخر. في حين أن هناك بعض التقنيات والتقنيات التي ستساعد في تسريع الإجابة على استبيانات الأمان في بوابات الإنترنت ، فإن استراتيجيات الأتمتة تعتمد بشكل كبير على عمليات تكامل الطرف الثالث المملوكة والتي يمكن أن تكون مكلفة وقد تنطبق فقط على "نكهة" واحدة من الأمان.

بصفتك بائعًا سيواجه المزيد من الاستبيانات الأمنية ذات التطور المتزايد ، فإنك تواجه تحديًا للإجابة عليها بكفاءة وشمولية.

ما هو استبيان الأمن؟

يتم استخدام استبيان الأمان عندما تحتاج المنظمة إلى تقييم ما إذا كانت بياناتها ستكون آمنة عندما تكون خارجة عن سيطرتها ، وعادة ما تكون في أيدي البائع.

يثق المستهلكون والعملاء في المنظمات من خلال بياناتهم التجارية والخاصة على افتراض أنها ستكون آمنة عندما تكون تحت سيطرة تلك المنظمة. يجب أن تضمن المنظمات أن أي شخص أو كيان خارج المنظمة يحافظ على حد أدنى من الأمان مساوٍ لمستوى المنظمة.

بمعنى آخر ، إذا كان لديك حارس شخصي بحزام أسود في الكاراتيه يذهب معك في كل مكان للتأكد من أن محفظتك آمنة ، فلا يمكنك السماح لأي شخص باستعارة محفظتك إلا إذا كان حارسه الشخصي لديه أيضًا على الأقل حزام أسود في الكاراتيه. ويجب أن يكون كلا الحراس الشخصيين هناك عند تسليم محفظتك ، على الرغم من أن المكان الذي يتم فيه التسليم من المفترض أن يكون آمنًا تمامًا أيضًا.

تأتي استبيانات الأمان عمومًا من أحد الأماكن الثلاثة التالية:

  1. قم ببناء النموذج الخاص بك ، عادةً في جدول بيانات ، يتضمن تقييمًا لجميع متطلبات الأمان الدنيا اللازمة للوصول إلى بياناتك (على سبيل المثال ، "املأ هذا النموذج لإثبات أن حارسك الشخصي جيد مثل حارسي الشخصي.").
  2. شراء الخاصة بك. يمكنك التأرجح بحثًا عن الأسوار وتقييم كل شيء بشيء مثل استبيان SIG (تجميع المعلومات القياسي). أو يمكنك تقييم مخاطر معينة باستخدام Nessus ، على سبيل المثال ، وهي أداة لتقييم أمان الشبكة. *
  3. استعارة استبيان الأمان المتاح للجمهور. تقدم بعض المنظمات غير الهادفة للربح استبيانات تشمل المعايير على النحو المتفق عليه من قبل أعضاء المهنيين ذوي التفكير المماثل. أحد الأمثلة على ذلك هو استبيان مبادرة تقييم الإجماع (CAIQ) ، الذي تم نشره بواسطة Cloud Security Alliance (CSA).

الشيء الوحيد الذي لا يشتمل عليه الاستبيان الأمني ​​هو استبيان العناية الواجبة (DDQ) . هناك نوعان من الاختلافات الرئيسية. واحد ، DDQs ليست مفصلة وتركز أكثر على العملية. قد تتلقى DDQ عندما تريد إحدى المنظمات أن تعرف كيف ستمتثل لمعاييرها وتفي باحتياجاتها. إنه في استبيان الأمان حيث يتعين عليك تقديم الدليل.

ثانيًا ، عادةً ما تصل DDQs في وقت مبكر من عملية البيع مقارنة باستبيان الأمان. فكر في DDQ باعتباره المرشح الأول. ترى المؤسسات أنه إذا كنت لا تعرف كيفية الامتثال في مرحلة DDQ ، فلا يستحق قضاء الوقت في التفاصيل بشكل أكبر في عملية المبيعات.

هذا لا يعني بالضرورة أنه يجب النظر إلى استبيانات الأمان على أنها معالم رئيسية في عملية المبيعات. يمكن أن تظهر في وقت مبكر مثل DDQs ، ولكن يمكن أن تظهر أيضًا في مرحلة العرض التوضيحي بشكل أكبر في عملية المبيعات أو حتى نشرها قريبًا عندما تبدأ خطط الإعداد في التبلور. لا يعد تلقي استبيان الأمان مؤشرًا على نجاحك النهائي. لكن عدم الاستجابة في الوقت المناسب وبدقة يمكن أن يقتل بالتأكيد صفقة.

لماذا الاستبيانات الأمنية مطلوبة؟

في الأيام الخوالي ، كانت تطبيقات البرامج تُستضاف في المنزل أو في مكان ما ، مما يعني أن مالك البيانات يمتلكها في جميع الأوقات. كانت لا تزال هناك استبيانات أمنية ، لكنها كانت مشاركة أقل بكثير.

مع تحول SaaS ، يتم الوثوق بالبيانات وتطبيقات الأعمال المهمة لطرف ثالث. قبل أن تقوم أي منظمة بإدخال حل SaaS ، يجب أن تكون واثقة من شيئين ، من منظور أمني. أولاً ، ستكون جميع بياناته آمنة مع بائع حل SaaS هذا.

ثانيًا ، سيكون التطبيق متاحًا عند الحاجة ومتوافقًا مع معايير وقت التشغيل المتفق عليها (على سبيل المثال ، لا تريد أن ينخفض ​​نظام الموارد البشرية قبل معالجة كشوف المرتبات مباشرة). انتشرت الاستبيانات الأمنية نتيجة لهجوم حلول SaaS.

ومع ذلك ، فإن استبيانات الأمان تقيِّم أكثر من مجرد جوانب خاصة بأمن البيانات ، مثل التشفير أو التخزين. قد تغطي الأسئلة عمليات أمان الشبكة والتدقيق والامتثال ، وحتى الأمان المادي لمواقعك على سبيل المثال لا الحصر. الحقيقة هي أن الاستبيانات أصبحت أكثر شيوعًا وأطول وأكثر تعقيدًا لسببين رئيسيين.

أولاً ، تتزايد حلول SaaS من حيث التعقيد والترابط. نادرًا ما يوجد تطبيق أعمال مستقل تمامًا. غالبًا ما يحتاجون إلى التحدث مع بعضهم البعض لمساعدة المنظمات على تحقيق هدف أكبر.

كلما زاد عدد التطبيقات التي تحتاج إلى التحدث مع بعضها البعض ، زاد التعرض للمخاطر بشكل أكبر ، مما يؤدي إلى تقييمات أمنية أكثر صرامة.

ثانيًا ، التهديدات تتطور باستمرار. لا يوجد شيء مثل نظام آمن بنسبة 100٪ ، وذلك في المقام الأول لأنه بغض النظر عن مدى أمان وذكاء الأنظمة ، ستكون هناك دائمًا بصمة بشرية في مكان ما.

88٪

يمكن أن تعزى انتهاكات البيانات إلى خطأ بشري.

المصدر: CISO Mag

من أنظمة التصويت إلى شبكات التوزيع إلى كبار تجار التجزئة ، يمكن للجهات الفاعلة السيئة التمحور بسرعة لتوجيه الهجمات الإلكترونية أينما وجدوا نقطة ضعف.

ماذا يتوقع مراجعو استبيان الأمان؟

استجابة صادقة ومباشرة وكاملة. واحترام وقتهم. انتبه للتعليمات. تتطلب بعض الأسئلة إجابات موجزة ومباشرة. يتطلب البعض الآخر تفسيرات مفصلة حول أنواع الضوابط الموجودة.

حتى مع دعم التشغيل الآلي ، سيتعين عليك التفكير في كل استجابة للتأكد من إجابتها بشكل صحيح. إذا كانت الإجابة من جزأين مطلوبة ، فقدم دائمًا وصفًا موجزًا ​​لإجابتك. هذا مهم بشكل خاص عندما يتعين عليك الإجابة بـ "لا" أو "لا ينطبق".

لا يجب أن يكون ردك دائمًا بالإيجاب. لا تقل نعم لأن لديك خطط لتنفيذ شيء ما. تصبح هذه الخطط التزامات قد لا تتمكن من الوفاء بها. لا تجب أبدًا بالإيجاب إذا كنت لا تستطيع التسليم. توقع دائمًا أن يطلب العميل إثباتًا.

تكون مباشرة. استخدم صوت نشط. الإيجاز مهم. في بعض الأحيان يتم طرح الأسئلة بطرق مختلفة عدة مرات. تجنب النسخ واللصق وربما يبدو المراوغة. لا تضيع الوقت في محاولة تخمين أولويات المراجعين. نادرا ما يكشفون ما هو إلزامي. افترض أن فرق الامتثال والمخاطر ستراجع جميع الردود باستخدام مشط دقيق الأسنان.

يجب أن يكون هدفك الحصول على استجابة كاملة قدر الإمكان. كلما كانت الاستجابة أكثر اكتمالاً ، قل احتمال حصولك على عمليات متابعة - فكلما اكتمل تقييم المخاطر بشكل أسرع ، كلما أسرعت في إغلاق الصفقة. لا تريد أن تؤدي استجابة استبيان الأمان إلى تعطيل الصفقة. إنها تأتي لاحقًا في عملية البيع وستؤدي جولات متعددة من المتابعة أو التوضيحات إلى إبطاء العملية ، الأمر الذي سيحبط فريق المبيعات لديك بلا نهاية.

المكونات الرئيسية لاستبيان الأمن

في معظم الحالات ، تقيم الاستبيانات الأمنية مجموعة واسعة من الضوابط الأمنية. توقع أسئلة عبر أنواع متعددة من الأمان.

الأمن "نكهة"

نموذج سؤال

أمان التطبيق

هل يحتوي تطبيق الويب الخاص بك على شهادة SSL؟

التدقيق والامتثال

كم مرة تقوم بتدقيق الامتثال لقانون خصوصية المستهلك في كاليفورنيا (CCPA)؟

استمرارية الأعمال

في حالة الانقطاع ، كيف يظل تطبيقك في الخدمة؟

التعافي من الكوارث

في حالة حدوث خرق للبيانات ، ما المدة التي ستستغرقها لإخطارنا؟

تغيير التحكم

ما هو تعريف التغيير الطارئ؟

أمن البيانات / المعلومات

ما هي الإرشادات التي يتبعها برنامج الأمان الخاص بك؟

خصوصية البيانات

ما هي عملية النسخ الاحتياطي لبياناتك؟

إدارة التشفير

هل يستخدم المنتج التشفير أو تقنيات التشفير الأخرى؟

الأمن المادي

هل تعمل في مكتب مشترك؟

الحوكمة وإدارة المخاطر

هل تحتفظ بسجل للأحداث الأمنية؟

الموارد البشرية

هل تقوم بتدريب موظفيك على كيفية اكتشاف الهجمات الإلكترونية؟

إدارة الهوية والوصول

هل يقدم تطبيقك تسجيل دخول أحادي (SSO)؟

إدارة الطرف الثالث

هل تستعين بمصادر خارجية لوظائف الأمان لموفري الطرف الثالث؟

إدارة الضعف

ما هي البرامج أو التقنيات التي تستخدمها لإجراء تحليلات الثغرات الأمنية؟

ستندرج العديد من الأسئلة ومتطلبات المحتوى تحت أحد المكونات الأربعة التالية.

1. شهادات الامتثال الأمني

يُعد إثبات شهادات الامتثال الأمني ​​أكثر المعلومات المطلوبة شيوعًا في استبيان الأمان. تتضمن أمثلة شهادات الامتثال الأمني ​​التحكم في مؤسسة الخدمة 2 (SOC 2) والمنظمة الدولية للتوحيد القياسي (ISO) والمعهد الوطني للمعايير وإطار عمل الأمن السيبراني (NIST CSF).

2. سياسات الأمن السيبراني ووثائق السياسة

من المحتمل أن تكون هذه هي الأكثر استهلاكا للوقت. وهي تغطي الكثير من المجالات ، بما في ذلك المعلومات والمادية والتطبيقات والبنية التحتية وأمن الشبكة. تقيّم هذه الأسئلة سياسات أمان تكنولوجيا المعلومات وخصوصية البيانات ومرونة الأعمال لديك. سيُطلب منك أحيانًا تقديم وثيقة السياسة الكاملة. في أوقات أخرى ، سيُطلب منك سحب أقسام محددة.

3. الإجراءات الأمنية

هذا المكون هو المكان الذي تريد المؤسسات فيه تقييم إجراءاتك لحماية معلومات العملاء وبياناتهم وأنظمتهم.

قد تركز الأسئلة والطلبات على:

  • إجراءات تدريب الموظفين على التوعية الأمنية
  • إجراءات تصحيح الثغرات الأمنية وترقيتها والتخفيف من حدتها على الخوادم أو أجهزة سطح المكتب
  • إجراءات إدارة الحادث في حالة حدوث خرق أمني أو أي حادث آخر
  • خطة التعافي من الكوارث واستمرارية الأعمال في حالة التعطل المطول
  • مراقبة وتتبع النشاط الضار

4. مخاطر تكنولوجيا المعلومات وضوابط التخفيف

إذا كانت المنظمة ستقبل مخاطرك من خلال إضافتك كبائع ، فعليها أن تعرف ما الذي تدخل فيه. والأهم من ذلك ، أنهم يريدون معرفة ما تفعله بالفعل لتقليل المخاطر.

سترى استفسارات مثل:

  • إرسال خطة إدارة المخاطر
  • تحديد قائمة المخاطر التي يمكن أن تؤثر بشكل مباشر على البيانات وأنظمة المعلومات لدينا
  • صف منهجية تقييم المخاطر الخاصة بك
  • ضع قائمة بضوابط الأمان لتقليل المخاطر
  • قائمة الموظفين / الأدوار المسؤولة عن إدارة المخاطر

لاحظ أنه من المحتمل أن يكون لديك بالفعل العديد من الإجابات على هذه الأسئلة. السؤال هو أين يتواجدون؟ هذا هو المفتاح للإجابة على الاستبيانات الأمنية بشكل أسرع.

5 نصائح للرد على استبيانات الأمان بشكل أسرع

مع المزيد من الاستبيانات الأمنية التي تأتي نتيجة لانتشار SaaS (والبنية التحتية كخدمة [IaaS] والنظام الأساسي كخدمة [PaaS]) ، ستكون الدقة والكفاءة والتكرار ضرورية للرد بسلاسة على استبيانات متعددة كل عام. هذه النصائح الخمس ستساعد.

تنفيذ الذكاء الاصطناعي والتعلم الآلي لأتمتة الاستجابات

حلول الأتمتة موجودة بالفعل. ومن المفارقات أنها SaaS أيضًا. المهم ، سواء كنت تبني بنفسك أو تبحث عن بائع ، هو أن الحل يحتوي على قدرات الذكاء الاصطناعي / تعلم الآلة للقيام بأكثر من مجرد النسخ واللصق. هناك رد أكثر من العثور على أي إجابة ؛ يجب أن تكون قادرًا على العثور على أفضل إجابة بسرعة.

قم بتطوير حل لإدارة المحتوى لتبسيط البحث عن الإجابات وتحديثها

من المحتمل أن يكون لديك بالفعل معظم الإجابات على استبيانات الأمان. عادةً ما تكمن المشكلة في أن المستندات التي تكمن فيها هذه الإجابات معزولة ومكررة وقديمة ، وقد تسمح فقط بالوصول المحدود وغير قابلة للبحث. مركزية المحتوى الخاص بك سوف يحل هذه المشكلة.

اتبع أفضل الممارسات لتقليل وقت الاستجابة مع تحسين الدقة

ستؤدي آليات التعاون الداخلية والخارجية الخاصة بك إلى التحسين هنا. بالإضافة إلى الأتمتة التي تدعم الذكاء الاصطناعي / تعلم الآلة ، يمكن أيضًا أتمتة المهام التي يجب على الخبراء المتخصصين الإجابة عليها ومراجعتها. يعد الحصول على فريقك في وضع ثابت أمرًا ضروريًا لتجنب أسئلة المتابعة المحبطة التي يمكن أن تنتج عن استجابة غير كاملة أو غير دقيقة.

حدد حل SaaS الذي يدعم التكنولوجيا للتفاعل مباشرة مع بوابات الإنترنت التابعة لجهات خارجية

تعمل أتمتة AI / ML بشكل أفضل على النماذج القابلة للتنزيل ، مثل جداول البيانات أو المستندات أو ملفات PDF. تعد البوابات الإلكترونية أكثر إزعاجًا ، وحتى كتابة هذه السطور ، لا يمكن أتمتتها إلا من خلال شراكات خلفية بين مُصدر الاستبيان الأمني ​​وموفري حلول المستجيبين.

إحدى التقنيات التي يمكن أن تساعدك هي بوابة امتداد المتصفح التي ترتبط بمكتبة المحتوى الخاصة بك. إنها تساعدك على العمل من خلال بوابة عبر الإنترنت بشكل أسرع لأنك لست مضطرًا للتبديل بين التطبيقات للوصول إلى الإجابات.

استيفاء استبيانات الأمان قبل الموعد النهائي للعميل

هذا يصور الكفاءة وحسن النية. كما أنه يمنح عميلك مزيدًا من راحة البال لأنك تأخذ الأمان على محمل الجد مع احترام وقته الثمين.

لا تدع الاستبيانات الأمنية تضع قيودًا على الإيرادات

ستكون الإجابة على استبيانات الأمان بشكل أو بآخر جزءًا من عملية إعداد البائع في المستقبل المنظور. بناءً على المشهد الحالي ، يمكنك توقع استمرار نمو استبيانات الأمان من حيث الحجم والتطور.

من المقرر أن يتجاوز الإنفاق على الأمن السيبراني تريليون دولار ، ويمثل البائعون الخارجيون 63٪ من خروقات البيانات. ستحتاج المنظمات إلى مزيد من التأكيدات بأن بياناتها ستكون آمنة وأن تطبيقاتها ستكون متاحة.

من خلال تنفيذ عمليات الأعمال التي تأخذ استبيان الأمان من الاستيعاب إلى الإرسال ، وأتمتة أكبر قدر ممكن من عملية الاستجابة ، وتحسين التعاون لإبقاء الخبراء المتخصصين في المهمة ، يمكنك تسريع وتبسيط طريقة إجابتك على الاستبيانات. هدفك هو عدم ترك الاستبيانات الأمنية تشكل عنق الزجاجة في عملية البيع.