Cosa, perché e come rispondere ai questionari di sicurezza
Pubblicato: 2021-08-20Hai molte opzioni per soluzioni per aiutarti a emettere un questionario sulla sicurezza.
Quando si tratta di rispondere a un questionario sulla sicurezza, ci sono meno opzioni, ma sarai felice di sapere che esistono soluzioni per aiutarti con quello che alcuni considerano un processo ripetitivo e meticolosamente manuale.
Esistono questionari di sicurezza in modo che le organizzazioni possano verificare che i loro dati saranno al sicuro in transito, in uso e inattivi con fornitori di terze parti. I consumatori richiedono che i loro dati privati, finanziari, medici e di altro tipo siano sempre protetti. Nella maggior parte dei settori esistono normative di conformità per garantire il rispetto degli standard di protezione minimi.
Per dimostrare la conformità, i fornitori devono completare i questionari di sicurezza nell'ambito di una valutazione del rischio.
Tradizionalmente, i questionari sulla sicurezza arrivano sotto forma di foglio di calcolo o altro documento scaricabile. Le soluzioni tecnologiche che automatizzano il processo di risposta a questi questionari possono essere indispensabili se si desidera risparmiare tempo e garantire coerenza nella risposta ai questionari.
C'è una tendenza crescente di portali di questionari di sicurezza online che rendono l'automazione complicata e richiedono ai fornitori di rispondere a più domande una per una. Sebbene ci siano alcune tecnologie e tecniche che aiuteranno ad accelerare la risposta ai questionari di sicurezza nei portali online, le strategie per l'automazione si basano fortemente su integrazioni proprietarie di terze parti che possono essere costose e possono essere applicate solo a un "sapore" di sicurezza.
In qualità di fornitore che dovrà affrontare un numero sempre maggiore di questionari di sicurezza sempre più sofisticati, hai la sfida di rispondere in modo efficiente e completo.
Che cos'è un questionario sulla sicurezza?
Un questionario sulla sicurezza viene utilizzato quando un'organizzazione deve valutare se i propri dati saranno al sicuro quando è al di fuori del loro controllo, in genere nelle mani di un fornitore.
Consumatori e clienti si fidano delle organizzazioni con i loro dati aziendali e privati con il presupposto che saranno al sicuro mentre sono sotto il controllo di quell'organizzazione. Le organizzazioni devono garantire che qualsiasi persona o entità al di fuori dell'organizzazione mantenga un livello minimo di sicurezza uguale a quello dell'organizzazione.
In altre parole, se hai una guardia del corpo con cintura nera di karate che ti accompagna ovunque per assicurarsi che il tuo portafoglio sia al sicuro, non puoi permettere a nessuno di prendere in prestito il tuo portafoglio a meno che anche la sua guardia del corpo non abbia almeno una cintura nera di karate. Ed entrambe le guardie del corpo devono essere presenti quando consegni il portafoglio, anche se il luogo in cui avviene il trasferimento dovrebbe essere completamente sicuro.
I questionari sulla sicurezza provengono generalmente da uno dei seguenti tre luoghi:
- Costruisci il tuo, di solito in un foglio di calcolo, che includa una valutazione di tutti i requisiti minimi di sicurezza necessari per accedere ai tuoi dati (ad esempio "Compila questo modulo per dimostrare che la tua guardia del corpo è brava quanto la mia guardia del corpo.").
- Acquista il tuo. Puoi oscillare per le recinzioni e valutare tutto con qualcosa come un questionario SIG (Standardized Information Gathering). Oppure puoi valutare un rischio specifico con, ad esempio, Nessus, che è uno strumento di valutazione della sicurezza della rete.*
- Prendere in prestito un questionario sulla sicurezza che è disponibile pubblicamente. Alcune organizzazioni senza scopo di lucro forniscono questionari che comprendono gli standard concordati da membri di professionisti che la pensano allo stesso modo. Uno di questi esempi è il Consensus Assessment Initiative Questionnaire (CAIQ), pubblicato dalla Cloud Security Alliance (CSA).
Una cosa che un questionario sulla sicurezza non è è un questionario di due diligence (DDQ) . Ci sono due differenze principali. Uno, i DDQ non sono così dettagliati e si concentrano maggiormente sul processo. Potresti ricevere un DDQ quando un'organizzazione vuole sapere come rispetterai i loro standard e soddisferai le loro esigenze. È nel questionario di sicurezza che dovrai fornire la prova.
Due, i DDQ di solito arrivano prima nel processo di vendita rispetto a un questionario di sicurezza. Pensa al DDQ come al primo filtro. Le organizzazioni ritengono che se non sai come rispettare la fase DDQ, non vale la pena dedicare tempo ai dettagli più avanti nel processo di vendita.
Ciò non significa necessariamente che i questionari sulla sicurezza debbano essere visti come pietre miliari chiave nel processo di vendita. Possono apparire all'inizio come DDQ, ma possono anche apparire nella fase demo più avanti nel processo di vendita o persino dopo la chiusura quando iniziano a prendere forma i piani di onboarding. La ricezione di un questionario sulla sicurezza non è un'indicazione del tuo eventuale successo. Ma non rispondere in tempo e in modo accurato potrebbe sicuramente rovinare un affare.
Perché sono necessari i questionari sulla sicurezza?
In passato, le applicazioni software erano ospitate in house o on premise, il che significava che il proprietario dei dati ne era sempre in possesso. C'erano ancora questionari sulla sicurezza, ma erano molto meno coinvolti.
Con il passaggio al SaaS, i dati e le applicazioni business-critical vengono affidati a terzi. Prima che un'organizzazione esegua l'onboarding di una soluzione SaaS, deve essere sicura di due cose, dal punto di vista della sicurezza. Uno, tutti i suoi dati saranno al sicuro con il fornitore di quella soluzione SaaS.
Due, l'applicazione sarà disponibile quando è necessario e conforme ai benchmark di uptime concordati (ad es. non si desidera che il sistema delle risorse umane si interrompa subito prima dell'elaborazione delle buste paga). I questionari sulla sicurezza sono proliferati a seguito dell'assalto di soluzioni SaaS.
Tuttavia, i questionari sulla sicurezza valutano più di semplici aspetti specifici della sicurezza dei dati, come la crittografia o l'archiviazione. Le domande possono riguardare la sicurezza della rete, i processi di controllo e conformità e persino la sicurezza fisica delle tue sedi, solo per citarne alcuni. Il fatto è che i questionari stanno diventando più comuni, più lunghi e più complessi per due ragioni principali.
In primo luogo, le soluzioni SaaS stanno crescendo in termini di complessità e interconnettività. Raramente esiste un'applicazione aziendale completamente autonoma. Spesso hanno bisogno di parlare tra loro per aiutare le organizzazioni a raggiungere un obiettivo più grande.
Più applicazioni devono comunicare tra loro, maggiore è l'esposizione al rischio, che si traduce in valutazioni della sicurezza più rigorose.
In secondo luogo, le minacce sono in continua evoluzione. Non esiste un sistema sicuro al 100%, principalmente perché non importa quanto siano sicuri e intelligenti i sistemi, ci sarà sempre un'impronta umana da qualche parte.
88%
delle violazioni dei dati può essere attribuita a un errore umano.
Fonte: CISO Mag
Dai sistemi di voto alle reti di distribuzione del carburante fino ai grandi rivenditori, i malintenzionati possono passare rapidamente per indirizzare gli attacchi informatici ovunque trovino un punto debole.
Cosa si aspettano i revisori del questionario sulla sicurezza?
Una risposta onesta, diretta e completa. E per rispettare il loro tempo. Presta attenzione alle istruzioni. Alcune domande richiedono risposte brevi e dirette. Altri richiedono spiegazioni dettagliate sui tipi di controlli in atto.
Anche con il supporto dell'automazione, dovrai pensare a ogni risposta per assicurarti che abbia una risposta adeguata. Se è necessaria una risposta in due parti, fornire sempre una breve descrizione della risposta. Ciò è particolarmente importante quando devi rispondere "no" o "non applicabile".
La tua risposta non deve essere sempre affermativa. Non dire di sì perché hai in programma di implementare qualcosa. Tali piani diventano obblighi che potresti non essere in grado di adempiere. Non rispondere mai affermativamente se non puoi consegnare. Aspettati sempre che il cliente chieda una prova.
Sii diretto. Usa una voce attiva. La concisione conta. A volte le domande vengono poste in modi diversi più volte. Evita di copiare e incollare e possibilmente sembrare evasivo. Non perdere tempo cercando di indovinare le priorità dei revisori. Raramente rivelano cosa è obbligatorio. Presumi che i team di conformità e rischio esamineranno tutte le risposte con un pettine a denti fini.
Il tuo obiettivo dovrebbe essere quello di avere una risposta il più completa possibile. Più completa è la risposta, meno è probabile che tu abbia dei follow-up: prima sarà completata la valutazione del rischio, prima l'affare potrà concludersi. Non vuoi che la risposta al questionario sulla sicurezza renda in piedi l'affare. Vengono più tardi nel processo di vendita e più cicli di follow-up o chiarimenti rallenteranno il processo, il che frustrerà il tuo team di vendita a non finire.
Componenti chiave di un questionario sulla sicurezza
Nella maggior parte dei casi, i questionari sulla sicurezza valutano un'ampia gamma di controlli di sicurezza. Aspettati domande su più tipi di sicurezza.
“Sapore” di sicurezza | Esempio di domanda |
Sicurezza dell'applicazione | La tua applicazione web ha un certificato SSL? |
Audit e conformità | Con quale frequenza verificate la conformità al California Consumer Privacy Act (CCPA)? |
Business continuity | In caso di interruzione, come fa la tua applicazione a rimanere in servizio? |
Ripristino di emergenza | In caso di violazione dei dati, quanto tempo ci vorrà per avvisarci? |
Controllo del cambiamento | Qual è la definizione di cambiamento di emergenza? |
Sicurezza dei dati/delle informazioni | Quali linee guida segue il tuo programma di sicurezza? |
Privacy dei dati | Qual è il processo per il backup dei dati? |
Gestione della crittografia | Il prodotto utilizza la crittografia o altre tecniche crittografiche? |
Sicurezza fisica | Lavori in uno spazio ufficio condiviso? |
Governance e gestione dei rischi | Tieni un registro degli eventi di sicurezza? |
risorse umane | Insegni ai tuoi dipendenti come rilevare gli attacchi informatici? |
Identità e gestione degli accessi | La tua applicazione offre il Single Sign-On (SSO)? |
Gestione di terze parti | Esternalizzate le funzioni di sicurezza a fornitori di terze parti? |
Gestione delle vulnerabilità | Quale software o tecniche utilizzate per condurre analisi di vulnerabilità? |
Molte domande e requisiti di contenuto rientreranno in uno dei seguenti quattro componenti.
1. Certificati di conformità alla sicurezza
La prova delle certificazioni di conformità alla sicurezza è l'informazione più comunemente richiesta in un questionario sulla sicurezza. Esempi di certificati di conformità alla sicurezza includono Service Organization Control 2 (SOC 2), International Organization for Standardization (ISO) e National Institute of Standards and Framework's Cybersecurity Framework (NIST CSF).
2. Politiche di sicurezza informatica e documenti politici
Questi saranno probabilmente i tuoi più dispendiosi in termini di tempo. Coprono molte aree, tra cui sicurezza delle informazioni, fisica, delle applicazioni, dell'infrastruttura e della rete. Queste domande valutano le politiche di sicurezza IT, privacy dei dati e resilienza aziendale. A volte ti verrà chiesto di fornire il documento completo della politica. Altre volte ti verrà chiesto di estrarre sezioni specifiche.
3. Procedure di sicurezza
Questo componente è il punto in cui le organizzazioni vogliono valutare le procedure per salvaguardare le informazioni, i dati e i sistemi dei clienti.
Domande e richieste possono riguardare:
- Procedure per la formazione di sensibilizzazione alla sicurezza dei dipendenti
- Procedure per l'applicazione di patch, l'aggiornamento e l'attenuazione delle vulnerabilità su server o desktop
- Procedure di gestione degli incidenti in caso di violazione della sicurezza o altro incidente
- Piano di ripristino di emergenza e continuità operativa in caso di fermo macchina prolungato
- Monitoraggio e tracciamento di attività dannose
4. Rischi informatici e controlli di mitigazione
Se un'organizzazione accetterà il tuo rischio aggiungendoti come fornitore, allora deve sapere in cosa si sta cacciando. Ancora più importante, vogliono sapere cosa stai già facendo per mitigare il rischio.
Vedrai richieste come:
- Presentare un piano di gestione del rischio
- Identificare l'elenco dei rischi che potrebbero avere un impatto diretto sui nostri dati e sistemi informativi
- Descrivi la tua metodologia di valutazione del rischio
- Elenca i controlli di sicurezza in atto per mitigare i rischi
- Elencare il personale/ruoli responsabili della gestione del rischio
Nota che probabilmente hai già molte delle risposte a queste domande. La domanda è dove si trovano? Questa è la chiave per rispondere più rapidamente ai questionari di sicurezza.
5 consigli per rispondere più velocemente ai questionari di sicurezza
Con un numero maggiore di questionari sulla sicurezza in arrivo a seguito della proliferazione di SaaS (e dell'infrastruttura come servizio [IaaS] e della piattaforma come servizio [PaaS]), l'accuratezza, l'efficienza e la ripetibilità saranno essenziali per rispondere senza problemi a più questionari ogni anno. Questi cinque suggerimenti ti aiuteranno.
Implementa l'intelligenza artificiale e l'apprendimento automatico per automatizzare le risposte
Esistono già soluzioni di automazione. Ironia della sorte, sono anche SaaS. L'importante, indipendentemente dal fatto che tu ne costruisca uno o cerchi un fornitore, è che la soluzione abbia capacità di intelligenza artificiale/ML per fare molto di più che copiare e incollare. C'è di più in una risposta che trovare una risposta; devi essere in grado di trovare la risposta migliore, velocemente.
Sviluppare una soluzione di gestione dei contenuti per semplificare la ricerca e l'aggiornamento delle risposte
Probabilmente hai già la maggior parte delle risposte ai questionari di sicurezza. Di solito, il problema è che i documenti in cui si trovano queste risposte sono silo, duplicati, obsoleti, possono consentire solo un accesso limitato e non sono ricercabili. Centralizzare i tuoi contenuti risolverà questo problema.
Segui le best practice per ridurre i tempi di consegna migliorando al contempo la precisione
I tuoi meccanismi di collaborazione interni ed esterni guideranno il miglioramento qui. Oltre all'automazione abilitata per AI/ML, è possibile automatizzare anche la preparazione dei compiti per gli esperti in materia per rispondere e rivedere. Mettere a punto il tuo team è essenziale per evitare quelle frustranti domande di follow-up che possono derivare da una risposta incompleta o imprecisa.
Identifica una soluzione SaaS che supporti la tecnologia per interagire direttamente con portali online di terze parti
L'automazione AI/ML funziona al meglio su moduli scaricabili, come fogli di calcolo, documenti o PDF. I portali online sono più problematici e, al momento della stesura di questo documento, possono essere automatizzati solo attraverso partnership di back-end tra l'emittente di questionari di sicurezza e i fornitori di soluzioni di risposta.
Una tecnologia che può aiutare è un portale di estensione del browser che si collega alla tua libreria di contenuti. Ti aiutano a lavorare attraverso un portale online più velocemente perché non devi passare da un'applicazione all'altra per accedere alle risposte.
Completare i questionari di sicurezza prima della scadenza del cliente
Questo ritrae competenza e buona volontà. Dà anche al tuo cliente una maggiore tranquillità che prendi sul serio la sicurezza rispettando il loro tempo prezioso.
Non lasciare che i questionari sulla sicurezza mettano un freno alle entrate
Rispondere ai questionari di sicurezza in una forma o nell'altra farà parte del processo di onboarding del fornitore per il prossimo futuro. Sulla base del panorama attuale, puoi aspettarti che i questionari sulla sicurezza continuino a crescere in termini di dimensioni e sofisticatezza.
La spesa per la sicurezza informatica dovrebbe superare i 1 trilione di dollari e i fornitori di terze parti rappresentano il 63% delle violazioni dei dati. Le organizzazioni vorranno maggiori garanzie che i loro dati saranno al sicuro e che le loro applicazioni saranno disponibili.
Implementando processi aziendali che portano un questionario di sicurezza dall'assunzione all'invio, automatizzando il più possibile il processo di risposta e migliorando la collaborazione per mantenere gli esperti in materia, puoi velocizzare e semplificare il modo in cui rispondi ai questionari. Il tuo obiettivo è non lasciare che i questionari sulla sicurezza siano un collo di bottiglia per il processo di vendita.