Das Was, Warum und Wie bei der Beantwortung von Sicherheitsfragebögen
Veröffentlicht: 2021-08-20Sie haben viele Lösungsmöglichkeiten, die Ihnen beim Ausstellen eines Sicherheitsfragebogens helfen.
Wenn es um die Beantwortung eines Sicherheitsfragebogens geht, gibt es weniger Möglichkeiten, aber Sie werden froh sein zu wissen, dass es Lösungen gibt, die Ihnen bei dem helfen, was manche als einen mühsam manuellen, sich wiederholenden Prozess betrachten.
Es gibt Sicherheitsfragebögen, mit denen Organisationen überprüfen können, ob ihre Daten während der Übertragung, Verwendung und Speicherung bei Drittanbietern sicher sind. Verbraucher verlangen, dass ihre privaten, finanziellen, medizinischen und sonstigen Daten jederzeit gesichert sind. In den meisten Branchen existieren Compliance-Vorschriften, um sicherzustellen, dass Mindestschutzstandards eingehalten werden.
Um die Einhaltung nachzuweisen, müssen Anbieter im Rahmen einer Risikobewertung Sicherheitsfragebögen ausfüllen.
Herkömmlicherweise kommen Sicherheitsfragebögen in Form einer Tabelle oder eines anderen herunterladbaren Dokuments an. Technologielösungen, die den Antwortprozess auf diese Fragebögen automatisieren, können unverzichtbar sein, wenn Sie Zeit sparen und Konsistenz bei der Beantwortung von Fragebögen sicherstellen möchten.
Es gibt einen wachsenden Trend von Portalen für Online-Sicherheitsfragebögen, die die Automatisierung schwierig machen und von den Anbietern verlangen, mehr Fragen nacheinander zu beantworten. Während es einige Technologien und Techniken gibt, die dazu beitragen, die Beantwortung von Sicherheitsfragebögen in Online-Portalen zu beschleunigen, stützen sich Automatisierungsstrategien stark auf proprietäre Integrationen von Drittanbietern, die kostspielig sein können und möglicherweise nur für eine „Variante“ der Sicherheit gelten.
Als Anbieter, der mit immer komplexeren Sicherheitsfragebögen konfrontiert wird, stehen Sie vor der Herausforderung, diese effizient und umfassend zu beantworten.
Was ist ein Sicherheitsfragebogen?
Ein Sicherheitsfragebogen wird verwendet, wenn eine Organisation beurteilen muss, ob ihre Daten sicher sind, wenn sie sich ihrer Kontrolle entziehen, normalerweise in den Händen eines Anbieters.
Verbraucher und Kunden vertrauen Organisationen ihre geschäftlichen und privaten Daten an, in der Annahme, dass sie sicher sind, solange sie unter der Kontrolle dieser Organisation stehen. Organisationen müssen sicherstellen, dass alle Personen oder Organisationen außerhalb der Organisation ein Mindestmaß an Sicherheit aufrechterhalten, das dem der Organisation entspricht.
Mit anderen Worten, wenn Sie einen Leibwächter mit einem schwarzen Gürtel im Karate haben, der Sie überallhin begleitet, um sicherzustellen, dass Ihre Brieftasche sicher ist, können Sie niemandem Ihre Brieftasche ausleihen, es sei denn, sein Leibwächter hat auch mindestens einen schwarzen Gürtel im Karate. Und bei der Übergabe des Geldbeutels müssen beide Leibwächter dabei sein, obwohl auch der Ort der Übergabe absolut sicher sein soll.
Sicherheitsfragebögen stammen im Allgemeinen von einem der folgenden drei Orte:
- Erstellen Sie Ihr eigenes, normalerweise in einer Tabelle, die eine Bewertung aller Mindestsicherheitsanforderungen enthält, die für den Zugriff auf Ihre Daten erforderlich sind (z. B. „Füllen Sie dieses Formular aus, um zu beweisen, dass Ihr Leibwächter so gut ist wie mein Leibwächter.“).
- Kaufen Sie Ihre eigenen. Sie können für die Zäune schwingen und alles mit so etwas wie einem SIG-Fragebogen (Standardized Information Gathering) auswerten. Oder Sie können ein bestimmtes Risiko beispielsweise mit Nessus bewerten, einem Tool zur Bewertung der Netzwerksicherheit.*
- Leihen Sie sich einen öffentlich zugänglichen Sicherheitsfragebogen aus. Einige gemeinnützige Organisationen bieten Fragebögen an, die Standards umfassen, die von einer Mitgliedschaft gleichgesinnter Fachleute vereinbart wurden. Ein solches Beispiel ist der Consensus Assessment Initiative Questionnaire (CAIQ), der von der Cloud Security Alliance (CSA) veröffentlicht wird.
Eine Sache, die ein Sicherheitsfragebogen nicht ist, ist ein Due-Diligence-Fragebogen (DDQ) . Es gibt zwei wesentliche Unterschiede. Erstens sind DDQs nicht so detailliert und konzentrieren sich mehr auf den Prozess. Sie erhalten möglicherweise einen DDQ, wenn eine Organisation wissen möchte, wie Sie ihre Standards einhalten und ihre Bedürfnisse erfüllen. Es steht im Sicherheitsfragebogen, wo Sie den Nachweis erbringen müssen.
Zweitens treffen DDQs im Vergleich zu einem Sicherheitsfragebogen normalerweise früher im Verkaufsprozess ein. Stellen Sie sich den DDQ als ersten Filter vor. Unternehmen gehen davon aus, dass es sich nicht lohnt, im weiteren Verlauf des Verkaufsprozesses Zeit mit den Details zu verbringen, wenn Sie nicht wissen, wie Sie die Anforderungen in der DDQ-Phase erfüllen.
Das bedeutet nicht zwangsläufig, dass Sicherheitsfragebögen als wichtige Meilensteine im Verkaufsprozess angesehen werden sollten. Sie können früh wie DDQs erscheinen, aber sie können auch in der Demo-Phase später im Verkaufsprozess erscheinen oder sogar nach Abschluss, wenn die Onboarding-Pläne Gestalt annehmen. Der Erhalt eines Sicherheitsfragebogens ist kein Hinweis auf Ihren letztendlichen Erfolg. Aber nicht rechtzeitig und genau zu reagieren, könnte einen Deal sicherlich ruinieren.
Warum werden Sicherheitsfragebögen benötigt?
Früher wurden Softwareanwendungen im eigenen Haus oder vor Ort gehostet, was bedeutete, dass der Eigentümer der Daten jederzeit im Besitz dieser war. Es gab immer noch Sicherheitsfragebögen, aber sie waren viel weniger involviert.
Mit der SaaS-Verlagerung werden Daten und geschäftskritische Anwendungen Dritten anvertraut. Bevor ein Unternehmen eine SaaS-Lösung einführt, muss es sich aus Sicherheitssicht auf zwei Dinge verlassen können. Erstens sind alle seine Daten beim Anbieter dieser SaaS-Lösung sicher.
Zweitens ist die Anwendung verfügbar, wenn sie benötigt wird, und entspricht den vereinbarten Betriebszeit-Benchmarks (z. B. Sie möchten nicht, dass das HR-System kurz vor der Verarbeitung der Gehaltsabrechnung ausfällt). Sicherheitsfragebögen haben sich infolge des Ansturms von SaaS-Lösungen stark verbreitet.
Dennoch bewerten Sicherheitsfragebögen mehr als nur datensicherheitsspezifische Aspekte wie Verschlüsselung oder Speicherung. Fragen können Netzwerksicherheit, Audit- und Compliance-Prozesse und sogar die physische Sicherheit Ihrer Standorte betreffen, um nur einige zu nennen. Tatsache ist, dass Fragebögen aus zwei Hauptgründen häufiger, länger und komplexer werden.
Erstens werden SaaS-Lösungen immer komplexer und interkonnektiver. Selten gibt es eine Geschäftsanwendung, die vollständig eigenständig ist. Sie müssen oft miteinander sprechen, um Organisationen dabei zu helfen, ein größeres Ziel zu erreichen.
Je mehr Anwendungen miteinander kommunizieren müssen, desto größer ist die Risikoexposition, was zu strengeren Sicherheitsbewertungen führt.
Zweitens entwickeln sich Bedrohungen ständig weiter. Ein 100 % sicheres System gibt es nicht, vor allem deshalb, weil egal wie sicher und intelligent Systeme werden, es wird immer irgendwo einen menschlichen Fingerabdruck geben.
88%
der Datenschutzverletzungen sind auf menschliches Versagen zurückzuführen.
Quelle: CISO-Mag
Von Wahlsystemen über Kraftstoffverteilungsnetzwerke bis hin zu großen Einzelhändlern können Angreifer schnell zu direkten Cyberangriffen übergehen, wo immer sie eine Schwachstelle finden.
Was erwarten Prüfer von Sicherheitsfragebögen?
Eine ehrliche, direkte und vollständige Antwort. Und ihre Zeit zu respektieren. Beachten Sie die Anweisungen. Manche Fragen erfordern kurze, direkte Antworten. Andere erfordern detaillierte Erläuterungen zu den Arten der vorhandenen Kontrollen.
Selbst mit Automatisierungsunterstützung müssen Sie jede Antwort durchdenken, um sicherzustellen, dass sie richtig beantwortet wird. Wenn eine zweiteilige Antwort erforderlich ist, geben Sie immer eine kurze Beschreibung Ihrer Antwort an. Dies ist besonders wichtig, wenn Sie mit „nein“ oder „nicht zutreffend“ antworten müssen.
Ihre Antwort muss nicht immer positiv sein. Sagen Sie nicht ja, weil Sie Pläne haben, etwas umzusetzen. Diese Pläne werden zu Verpflichtungen, die Sie möglicherweise nicht erfüllen können. Bejahen Sie niemals, wenn Sie nicht liefern können. Erwarten Sie immer, dass der Kunde einen Beweis verlangt.
Sei direkt. Verwenden Sie eine aktive Stimme. Prägnanz zählt. Manchmal werden Fragen mehrmals auf unterschiedliche Weise gestellt. Vermeiden Sie Kopieren und Einfügen und klingen Sie möglicherweise ausweichend. Verschwenden Sie keine Zeit damit, die Prioritäten der Rezensenten zu erraten. Sie verraten selten, was obligatorisch ist. Gehen Sie davon aus, dass Compliance- und Risikoteams alle Antworten mit einem feinen Kamm überprüfen werden.
Ihr Ziel sollte es sein, eine möglichst vollständige Antwort zu erhalten. Je vollständiger die Antwort ist, desto unwahrscheinlicher ist es, dass Sie Folgemaßnahmen haben – je früher die Risikobewertung abgeschlossen ist, desto eher kann das Geschäft abgeschlossen werden. Sie möchten nicht, dass die Antwort auf den Sicherheitsfragebogen den Deal aufhält. Sie kommen später im Verkaufsprozess und mehrere Nachverfolgungs- oder Klärungsrunden verlangsamen den Prozess, was Ihr Verkaufsteam unendlich frustrieren wird.
Schlüsselkomponenten eines Sicherheitsfragebogens
In den meisten Fällen bewerten Sicherheitsfragebögen ein breites Spektrum an Sicherheitskontrollen. Erwarten Sie Fragen zu mehreren Arten von Sicherheit.
Sicherheit „Geschmack“ | Beispielfrage |
Anwendungssicherheit | Verfügt Ihre Webanwendung über ein SSL-Zertifikat? |
Prüfung & Compliance | Wie oft prüfen Sie die Einhaltung des California Consumer Privacy Act (CCPA)? |
Geschäftskontinuität | Wie bleibt Ihre Anwendung im Falle eines Ausfalls in Betrieb? |
Notfallwiederherstellung | Wie lange dauert es im Falle einer Datenschutzverletzung, bis Sie uns benachrichtigen? |
Kontrolle ändern | Was ist die Definition einer Notfalländerung? |
Daten-/Informationssicherheit | Welchen Richtlinien folgt Ihr Sicherheitsprogramm? |
Datenprivatsphäre | Wie läuft die Sicherung Ihrer Daten ab? |
Verschlüsselungsverwaltung | Verwendet das Produkt Verschlüsselung oder andere kryptografische Techniken? |
Physische Sicherheit | Arbeiten Sie in einem Gemeinschaftsbüro? |
Governance & Risikomanagement | Führen Sie Aufzeichnungen über Sicherheitsvorfälle? |
HR | Schulen Sie Ihre Mitarbeiter in der Erkennung von Cyberangriffen? |
Identitäts- und Zugriffsverwaltung | Bietet Ihre Anwendung Single Sign-On (SSO)? |
Verwaltung durch Drittanbieter | Lagern Sie Sicherheitsfunktionen an Drittanbieter aus? |
Schwachstellenmanagement | Welche Software oder Techniken verwenden Sie, um Schwachstellenanalysen durchzuführen? |
Viele Fragen und Inhaltsanforderungen fallen unter eine der folgenden vier Komponenten.
1. Sicherheitskonformitätszertifikate
Der Nachweis von Sicherheits-Compliance-Zertifizierungen ist die am häufigsten angeforderte Information in einem Sicherheitsfragebogen. Beispiele für Sicherheitskonformitätszertifikate sind Service Organization Control 2 (SOC 2), International Organization for Standardization (ISO) und National Institute of Standards and Framework’s Cybersecurity Framework (NIST CSF).
2. Cybersicherheitsrichtlinien und Richtliniendokumente
Diese werden wahrscheinlich am zeitaufwändigsten sein. Sie decken viele Bereiche ab, darunter Informations-, physische, Anwendungs-, Infrastruktur- und Netzwerksicherheit. Diese Fragen bewerten Ihre IT-Sicherheits-, Datenschutz- und Business-Resiliency-Richtlinien. Manchmal werden Sie aufgefordert, das vollständige Richtliniendokument bereitzustellen. In anderen Fällen werden Sie aufgefordert, bestimmte Abschnitte herauszuziehen.
3. Sicherheitsverfahren
In dieser Komponente möchten Organisationen Ihre Verfahren zum Schutz von Kundeninformationen, Daten und Systemen bewerten.
Fragen und Wünsche können sich auf Folgendes beziehen:
- Verfahren für die Schulung des Sicherheitsbewusstseins der Mitarbeiter
- Verfahren zum Patchen, Aktualisieren und Mindern von Schwachstellen auf Servern oder Desktops
- Incident-Management-Verfahren im Falle einer Sicherheitsverletzung oder eines anderen Vorfalls
- Disaster-Recovery- und Business-Continuity-Plan im Falle längerer Ausfallzeiten
- Überwachung und Verfolgung böswilliger Aktivitäten
4. IT-Risiken und Minderungskontrollen
Wenn eine Organisation Ihr Risiko akzeptiert, indem sie Sie als Anbieter hinzufügt, muss sie wissen, worauf sie sich einlässt. Noch wichtiger ist, dass sie wissen möchten, was Sie bereits tun, um Risiken zu mindern.
Sie sehen Anfragen wie:
- Reichen Sie einen Risikomanagementplan ein
- Identifizieren Sie die Liste der Risiken, die sich direkt auf unsere Daten und Informationssysteme auswirken könnten
- Beschreiben Sie Ihre Methode zur Risikobewertung
- Führen Sie Sicherheitskontrollen auf, die vorhanden sind, um Risiken zu mindern
- Führen Sie die für das Risikomanagement verantwortlichen Personen/Rollen auf
Beachten Sie, dass Sie wahrscheinlich bereits viele Antworten auf diese Fragen haben. Die Frage ist, wo befinden sie sich? Das ist der Schlüssel zur schnelleren Beantwortung von Sicherheitsfragebögen.
5 Tipps zur schnelleren Beantwortung von Sicherheitsfragebögen
Da durch die Verbreitung von SaaS (und Infrastructure as a Service [IaaS] und Platform as a Service [PaaS]) immer mehr Sicherheitsfragebögen auftauchen, werden Genauigkeit, Effizienz und Wiederholbarkeit für die nahtlose Beantwortung mehrerer Fragebögen jedes Jahr von entscheidender Bedeutung sein. Diese fünf Tipps helfen dabei.
Implementieren Sie KI und maschinelles Lernen, um Antworten zu automatisieren
Automatisierungslösungen gibt es bereits. Ironischerweise sind sie auch SaaS. Unabhängig davon, ob Sie Ihre eigene erstellen oder sich an einen Anbieter wenden, ist es wichtig, dass die Lösung über KI/ML-Fähigkeiten verfügt, um mehr als nur Kopieren und Einfügen zu können. Zu einer Antwort gehört mehr als nur eine Antwort zu finden; Sie müssen in der Lage sein, schnell die beste Antwort zu finden.
Entwickeln Sie eine Content-Management-Lösung, um das Suchen und Aktualisieren von Antworten zu optimieren
Wahrscheinlich haben Sie bereits die meisten Antworten auf Sicherheitsfragebögen. Normalerweise besteht das Problem darin, dass die Dokumente, in denen diese Antworten liegen, isoliert, dupliziert und veraltet sind, möglicherweise nur eingeschränkten Zugriff erlauben und nicht durchsuchbar sind. Durch die Zentralisierung Ihrer Inhalte wird dieses Problem gelöst.
Befolgen Sie Best Practices, um die Durchlaufzeit zu verkürzen und gleichzeitig die Genauigkeit zu verbessern
Ihre internen und externen Kollaborationsmechanismen werden hier die Verbesserung vorantreiben. Neben der KI/ML-fähigen Automatisierung kann auch das Abrufen von Aufgaben für Fachexperten zur Beantwortung und Überprüfung automatisiert werden. Es ist wichtig, Ihr Team im Gleichschritt zu halten, um diese frustrierenden Folgefragen zu vermeiden, die aus einer unvollständigen oder ungenauen Antwort resultieren können.
Identifizieren Sie eine SaaS-Lösung, die Technologie unterstützt, um direkt mit Online-Portalen von Drittanbietern zu interagieren
Die KI/ML-Automatisierung funktioniert am besten mit herunterladbaren Formularen wie Tabellenkalkulationen, Dokumenten oder PDFs. Online-Portale sind problematischer und können zum jetzigen Zeitpunkt nur durch Backend-Partnerschaften zwischen dem Herausgeber von Sicherheitsfragebögen und den Anbietern von Responder-Lösungen automatisiert werden.
Eine Technologie, die dabei helfen kann, ist ein Browser-Erweiterungsportal, das mit Ihrer Inhaltsbibliothek verknüpft ist. Sie helfen Ihnen dabei, ein Online-Portal schneller zu bearbeiten, da Sie nicht zwischen Anwendungen wechseln müssen, um auf Antworten zuzugreifen.
Füllen Sie Sicherheitsfragebögen vor Ablauf der Frist des Kunden aus
Dies zeugt von Kompetenz und gutem Willen. Es gibt Ihrem Kunden auch mehr Gewissheit, dass Sie die Sicherheit ernst nehmen und gleichzeitig seine wertvolle Zeit respektieren.
Lassen Sie nicht zu, dass Sicherheitsfragebögen den Umsatz einschränken
Die Beantwortung von Sicherheitsfragebögen in der einen oder anderen Form wird auf absehbare Zeit Teil des Onboarding-Prozesses für Anbieter sein. Basierend auf der aktuellen Landschaft können Sie davon ausgehen, dass Sicherheitsfragebögen weiterhin an Größe und Ausgereiftheit zunehmen werden.
Die Ausgaben für Cybersicherheit sollen 1 Billion US-Dollar übersteigen, und Drittanbieter sind für 63 % der Datenschutzverletzungen verantwortlich. Unternehmen werden mehr Zusicherungen wünschen, dass ihre Daten sicher sind und ihre Anwendungen verfügbar sind.
Durch die Implementierung von Geschäftsprozessen, die einen Sicherheitsfragebogen von der Eingabe bis zur Einreichung führen, die Automatisierung eines möglichst großen Teils des Beantwortungsprozesses und die Verbesserung der Zusammenarbeit, um die Fachexperten bei der Arbeit zu halten, können Sie die Beantwortung von Fragebögen beschleunigen und vereinfachen. Ihr Ziel ist es, Sicherheitsfragebögen niemals zu einem Engpass im Verkaufsprozess werden zu lassen.