El qué, por qué y cómo al responder cuestionarios de seguridad
Publicado: 2021-08-20Tiene muchas opciones de soluciones para ayudarlo a emitir un cuestionario de seguridad.
Cuando se trata de responder un cuestionario de seguridad, hay menos opciones, pero le alegrará saber que existen soluciones para ayudarlo con lo que algunos consideran un proceso repetitivo y laboriosamente manual.
Existen cuestionarios de seguridad para que las organizaciones puedan verificar que sus datos estarán seguros en tránsito, en uso y en reposo con proveedores externos. Los consumidores exigen que sus datos privados, financieros, médicos y de otro tipo estén protegidos en todo momento. En la mayoría de las industrias, existen regulaciones de cumplimiento para garantizar que se cumplan los estándares mínimos de protección.
Para demostrar el cumplimiento, los proveedores deben completar cuestionarios de seguridad como parte de una evaluación de riesgos.
Tradicionalmente, los cuestionarios de seguridad llegan en forma de hoja de cálculo u otro documento descargable. Las soluciones tecnológicas que automatizan el proceso de respuesta a estos cuestionarios pueden ser indispensables si desea ahorrar tiempo y garantizar la coherencia al responder los cuestionarios.
Existe una tendencia creciente de portales de cuestionarios de seguridad en línea que dificultan la automatización y requieren que los proveedores respondan más preguntas una por una. Si bien existen algunas tecnologías y técnicas que ayudarán a acelerar la respuesta a los cuestionarios de seguridad en los portales en línea, las estrategias de automatización dependen en gran medida de las integraciones de terceros patentadas que pueden ser costosas y solo pueden aplicarse a un "sabor" de seguridad.
Como proveedor que se enfrentará a más cuestionarios de seguridad cada vez más sofisticados, tiene el desafío de responderlos de manera eficiente y completa.
¿Qué es un cuestionario de seguridad?
Un cuestionario de seguridad se usa cuando una organización necesita evaluar si sus datos estarán seguros cuando estén fuera de su control, generalmente en manos de un proveedor.
Los consumidores y clientes confían a las organizaciones sus datos comerciales y privados con la suposición de que estarán seguros mientras estén bajo el control de esa organización. Las organizaciones deben garantizar que cualquier persona o entidad fuera de la organización mantenga un nivel mínimo de seguridad igual al de la organización.
En otras palabras, si tiene un guardaespaldas con cinturón negro en kárate que lo acompaña a todas partes para asegurarse de que su billetera esté segura, no puede dejar que nadie le preste su billetera a menos que su guardaespaldas también tenga al menos un cinturón negro en kárate. Y ambos guardaespaldas deben estar allí cuando entregue su billetera, aunque se supone que el lugar donde se realiza la entrega también es completamente seguro.
Los cuestionarios de seguridad generalmente provienen de uno de los siguientes tres lugares:
- Cree el suyo propio, generalmente en una hoja de cálculo, que incluya una evaluación de todos los requisitos mínimos de seguridad necesarios para acceder a sus datos (es decir, "Complete este formulario para demostrar que su guardaespaldas es tan bueno como mi guardaespaldas").
- Compra el tuyo. Puede hacer pivotar por las vallas y evaluar todo con algo así como un cuestionario SIG (recopilación de información estandarizada). O puede evaluar un riesgo específico con, por ejemplo, Nessus, que es una herramienta de evaluación de la seguridad de la red.*
- Tome prestado un cuestionario de seguridad que esté disponible públicamente. Algunas organizaciones sin fines de lucro brindan cuestionarios que abarcan estándares según lo acordado por una membresía de profesionales de ideas afines. Un ejemplo de ello es el Cuestionario de Iniciativa de Evaluación de Consenso (CAIQ), publicado por Cloud Security Alliance (CSA).
Una cosa que un cuestionario de seguridad no es es un cuestionario de diligencia debida (DDQ) . Hay dos diferencias principales. Uno, los DDQ no son tan detallados y se enfocan más en el proceso. Puede recibir un DDQ cuando una organización quiere saber cómo cumplirá con sus estándares y satisfará sus necesidades. Es en el cuestionario de seguridad donde tendrás que aportar el comprobante.
Dos, los DDQ suelen llegar antes en el proceso de ventas en comparación con un cuestionario de seguridad. Piense en el DDQ como el primer filtro. Las organizaciones calculan que si no sabe cómo cumplir en la etapa DDQ, entonces no vale la pena dedicar tiempo a los detalles más adelante en el proceso de ventas.
Eso no significa necesariamente que los cuestionarios de seguridad deban considerarse hitos clave en el proceso de ventas. Pueden aparecer al principio como DDQ, pero también pueden aparecer en la etapa de demostración más adelante en el proceso de ventas o incluso publicarse cuando los planes de incorporación comienzan a tomar forma. Recibir un cuestionario de seguridad no es una indicación de su eventual éxito. Pero no responder a tiempo y con precisión ciertamente podría arruinar un trato.
¿Por qué son necesarios los cuestionarios de seguridad?
En los viejos tiempos, las aplicaciones de software se alojaban en casa o en las instalaciones, lo que significaba que el propietario de los datos estaba en posesión de ellos en todo momento. Todavía había cuestionarios de seguridad, pero eran mucho menos complicados.
Con el cambio de SaaS, los datos y las aplicaciones críticas para el negocio se confían a un tercero. Antes de que una organización incorpore una solución SaaS, debe tener confianza en dos cosas, desde una perspectiva de seguridad. Uno, todos sus datos estarán seguros con el proveedor de esa solución SaaS.
Dos, la aplicación estará disponible cuando se necesite y cumpla con los puntos de referencia de tiempo de actividad acordados (por ejemplo, no desea que el sistema de recursos humanos se caiga justo antes de procesar la nómina). Los cuestionarios de seguridad han proliferado como resultado de la avalancha de soluciones SaaS.
Sin embargo, los cuestionarios de seguridad evalúan más que aspectos específicos de la seguridad de los datos, como el cifrado o el almacenamiento. Las preguntas pueden cubrir la seguridad de la red, los procesos de auditoría y cumplimiento, e incluso la seguridad física de sus ubicaciones, solo por nombrar algunas. El hecho es que los cuestionarios son cada vez más comunes, más largos y más complejos por dos razones principales.
Primero, las soluciones SaaS están creciendo en complejidad e interconectividad. Rara vez hay una aplicación comercial que sea completamente independiente. A menudo necesitan hablar entre ellos para ayudar a las organizaciones a lograr un objetivo más amplio.
Cuantas más aplicaciones necesiten comunicarse entre sí, mayor será la exposición al riesgo, lo que da como resultado evaluaciones de seguridad más estrictas.
En segundo lugar, las amenazas evolucionan constantemente. No existe tal cosa como un sistema 100% seguro, principalmente porque no importa qué tan seguros e inteligentes se vuelvan los sistemas, siempre habrá una huella digital humana en alguna parte.
88%
de las filtraciones de datos pueden atribuirse a un error humano.
Fuente: Revista CISO
Desde los sistemas de votación hasta las redes de distribución de combustible y los grandes minoristas, los malos actores pueden girar rápidamente para dirigir ataques cibernéticos donde sea que encuentren una debilidad.
¿Qué esperan los revisores de cuestionarios de seguridad?
Una respuesta honesta, directa y completa. Y respetar su tiempo. Preste atención a las instrucciones. Algunas preguntas requieren respuestas breves y directas. Otros requieren explicaciones detalladas sobre los tipos de controles establecidos.
Incluso con el soporte de automatización, tendrá que pensar en cada respuesta para asegurarse de que se responda correctamente. Si se requiere una respuesta de dos partes, proporcione siempre una breve descripción de su respuesta. Esto es especialmente importante cuando tiene que responder "no" o "no aplicable".
Tu respuesta no siempre tiene que ser afirmativa. No digas que sí porque tienes planes para implementar algo. Esos planes se convierten en obligaciones que quizás no puedas cumplir. Nunca responda afirmativamente si no puede cumplir. Siempre espere que el cliente pida pruebas.
Sé directo. Usa una voz activa. La concisión importa. A veces, las preguntas se hacen de diferentes maneras varias veces. Evite copiar y pegar y posiblemente sonar evasivo. No pierda el tiempo tratando de adivinar las prioridades de los revisores. Rara vez revelan lo que es obligatorio. Suponga que los equipos de cumplimiento y riesgo revisarán todas las respuestas con detenimiento.
Su objetivo debe ser tener una respuesta lo más completa posible. Cuanto más completa sea la respuesta, es menos probable que tenga seguimientos: cuanto antes se complete la evaluación de riesgos, antes se podrá cerrar el trato. No desea que la respuesta al cuestionario de seguridad retrase el trato. Vienen más tarde en el proceso de ventas y múltiples rondas de seguimiento o aclaraciones ralentizarán el proceso, lo que frustrará a su equipo de ventas sin fin.
Componentes clave de un cuestionario de seguridad
En la mayoría de los casos, los cuestionarios de seguridad evalúan un amplio espectro de controles de seguridad. Espere preguntas sobre múltiples tipos de seguridad.
“Sabor” de seguridad | Pregunta de muestra |
Seguridad de la aplicación | ¿Su aplicación web tiene un certificado SSL? |
Auditoría y Cumplimiento | ¿Con qué frecuencia audita el cumplimiento de la Ley de Privacidad del Consumidor de California (CCPA)? |
Continuidad del negocio | En caso de una interrupción, ¿cómo permanece en servicio su aplicación? |
Recuperación de desastres | En caso de una violación de datos, ¿cuánto tiempo tardará en notificarnos? |
Cambio de control | ¿Cuál es la definición de un cambio de emergencia? |
Seguridad de datos/información | ¿Qué pautas sigue su programa de seguridad? |
Privacidad de datos | ¿Cuál es el proceso para hacer una copia de seguridad de sus datos? |
Gestión de cifrado | ¿El producto utiliza encriptación u otras técnicas criptográficas? |
Seguridad física | ¿Trabajas en un espacio de oficina compartido? |
Gobernanza y gestión de riesgos | ¿Lleva un registro de los eventos de seguridad? |
HORA | ¿Formas a tus empleados sobre cómo detectar ciberataques? |
Gestión de acceso e identidad | ¿Su aplicación ofrece inicio de sesión único (SSO)? |
Gestión de terceros | ¿Externaliza las funciones de seguridad a proveedores externos? |
Gestión de vulnerabilidades | ¿Qué software o técnicas utiliza para realizar análisis de vulnerabilidad? |
Muchas preguntas y requisitos de contenido se incluirán en uno de los siguientes cuatro componentes.
1. Certificados de cumplimiento de seguridad
La prueba de certificaciones de cumplimiento de seguridad es la información más solicitada en un cuestionario de seguridad. Los ejemplos de certificados de cumplimiento de seguridad incluyen el Control de organización de servicios 2 (SOC 2), la Organización internacional de estandarización (ISO) y el Marco de seguridad cibernética del Instituto Nacional de Estándares y Marcos (NIST CSF).
2. Políticas de ciberseguridad y documentos de políticas
Es probable que estos sean los que más tiempo consuman. Cubren muchas áreas, incluida la seguridad de la información, física, de aplicaciones, de infraestructura y de red. Estas preguntas evalúan sus políticas de seguridad de TI, privacidad de datos y resiliencia empresarial. A veces se le pedirá que proporcione el documento de política completo. Otras veces se le pedirá que extraiga secciones específicas.
3. Procedimientos de seguridad
Este componente es donde las organizaciones desean evaluar sus procedimientos para salvaguardar la información, los datos y los sistemas del cliente.
Las preguntas y solicitudes pueden centrarse en:
- Procedimientos para la formación de conciencia de seguridad de los empleados
- Procedimientos para parchear, actualizar y mitigar vulnerabilidades en servidores o escritorios
- Procedimientos de gestión de incidentes en caso de una brecha de seguridad u otro incidente
- Plan de recuperación ante desastres y continuidad del negocio en caso de tiempo de inactividad prolongado
- Monitoreo y seguimiento de actividad maliciosa
4. Riesgos de TI y controles de mitigación
Si una organización va a aceptar su riesgo al agregarlo como proveedor, entonces necesitan saber en qué se están metiendo. Aún más importante, quieren saber lo que ya está haciendo para mitigar el riesgo.
Verás consultas como:
- Presentar un plan de gestión de riesgos
- Identificar la lista de riesgos que podrían impactar directamente en nuestros datos y sistemas de información
- Describa su metodología de evaluación de riesgos
- Enumerar los controles de seguridad establecidos para mitigar los riesgos
- Enumere el personal/las funciones responsables de la gestión de riesgos
Tenga en cuenta que probablemente ya tenga muchas de las respuestas a estas preguntas. La pregunta es ¿dónde están ubicados? Esa es la clave para responder más rápido a los cuestionarios de seguridad.
5 consejos para responder más rápido a los cuestionarios de seguridad
Con más cuestionarios de seguridad como resultado de la proliferación de SaaS (y la infraestructura como servicio [IaaS] y la plataforma como servicio [PaaS]), la precisión, la eficiencia y la repetibilidad serán esenciales para responder sin problemas a múltiples cuestionarios cada año. Estos cinco consejos te ayudarán.
Implemente IA y aprendizaje automático para automatizar respuestas
Las soluciones de automatización ya existen. Irónicamente, también son SaaS. Lo importante, ya sea que cree la suya propia o busque un proveedor, es que la solución tenga capacidades de IA/ML para hacer más que solo copiar y pegar. Hay más en una respuesta que encontrar una respuesta; tienes que ser capaz de encontrar la mejor respuesta, rápido.
Desarrolle una solución de administración de contenido para agilizar la búsqueda y actualización de respuestas
Es probable que ya tenga la mayoría de las respuestas a los cuestionarios de seguridad. Por lo general, el problema es que los documentos donde se encuentran estas respuestas están aislados, duplicados, desactualizados, pueden permitir solo un acceso limitado y no se pueden buscar. Centralizar tu contenido resolverá este problema.
Siga las mejores prácticas para reducir el tiempo de respuesta y mejorar la precisión
Sus mecanismos de colaboración internos y externos impulsarán la mejora aquí. Además de la automatización habilitada para IA/ML, también se puede automatizar el seguimiento de las tareas para que los expertos en la materia respondan y revisen. Lograr que su equipo esté en sintonía es esencial para evitar esas frustrantes preguntas de seguimiento que pueden resultar de una respuesta incompleta o inexacta.
Identificar una solución SaaS que admita tecnología para interactuar directamente con portales en línea de terceros
La automatización AI/ML funciona mejor en formularios descargables, como hojas de cálculo, documentos o PDF. Los portales en línea son más problemáticos y, a partir de este escrito, solo se pueden automatizar a través de asociaciones de back-end entre el emisor del cuestionario de seguridad y los proveedores de soluciones de respuesta.
Una tecnología que puede ayudar es un portal de extensión del navegador que se vincula a su biblioteca de contenido. Lo ayudan a trabajar a través de un portal en línea más rápido porque no tiene que cambiar entre aplicaciones para acceder a las respuestas.
Complete los cuestionarios de seguridad antes de la fecha límite del cliente
Esto retrata competencia y buena voluntad. También le da a su cliente una mayor tranquilidad de saber que se toma en serio la seguridad y respeta su valioso tiempo.
No permita que los cuestionarios de seguridad limiten los ingresos
Responder cuestionarios de seguridad de una forma u otra será parte del proceso de incorporación de proveedores en el futuro previsible. Según el panorama actual, puede esperar que los cuestionarios de seguridad sigan creciendo en tamaño y sofisticación.
Está previsto que el gasto en ciberseguridad supere el billón de dólares, y los proveedores externos representan el 63 % de las filtraciones de datos. Las organizaciones querrán más garantías de que sus datos estarán seguros y que sus aplicaciones estarán disponibles.
Al implementar procesos comerciales que toman un cuestionario de seguridad desde la recepción hasta el envío, automatizando la mayor parte posible del proceso de respuesta y mejorando la colaboración para mantener a los expertos en la materia en la tarea, puede acelerar y simplificar la forma en que responde los cuestionarios. Su objetivo es que los cuestionarios de seguridad nunca sean un cuello de botella para el proceso de ventas.