Güvenlik Anketlerini Yanıtlarken Ne, Neden ve Nasıl
Yayınlanan: 2021-08-20Bir güvenlik anketi düzenlemenize yardımcı olacak çözümler için birçok seçeneğiniz var.
Bir güvenlik anketini yanıtlamak söz konusu olduğunda, daha az seçenek vardır, ancak bazılarının zahmetli bir şekilde manuel, tekrarlayan bir süreç olarak kabul ettiği şeylerde size yardımcı olacak çözümlerin var olduğunu bilmekten mutluluk duyacaksınız.
Güvenlik anketleri, kuruluşların verilerinin aktarım sırasında, kullanımda ve üçüncü taraf satıcılar ile kullanımda değilken güvende olacağını doğrulayabilmeleri için mevcuttur. Tüketiciler özel, finansal, tıbbi ve diğer verilerinin her zaman güvende olmasını talep eder. Çoğu endüstride, minimum koruma standartlarının karşılanmasını sağlamak için uyumluluk düzenlemeleri mevcuttur.
Uyumluluğu kanıtlamak için satıcılar, bir risk değerlendirmesinin parçası olarak güvenlik anketlerini doldurmalıdır.
Geleneksel olarak, güvenlik anketleri bir elektronik tablo veya başka bir indirilebilir belge biçiminde gelir. Anketleri cevaplarken zamandan tasarruf etmek ve tutarlılık sağlamak istiyorsanız, bu anketlere yanıt sürecini otomatikleştiren teknoloji çözümleri vazgeçilmez olabilir.
Otomasyonu zorlaştıran ve satıcıların tek tek daha fazla soruyu yanıtlamasını gerektiren çevrimiçi güvenlik anketi portallarında artan bir eğilim var. Çevrimiçi portallarda güvenlik anketlerini yanıtlamayı hızlandırmaya yardımcı olacak bazı teknolojiler ve teknikler olsa da, otomasyon stratejileri büyük ölçüde maliyetli olabilen ve güvenliğin yalnızca bir "tadı" için geçerli olabilecek tescilli üçüncü taraf entegrasyonlarına dayanır.
Gelişmişliği artırmaya yönelik daha fazla güvenlik anketiyle karşılaşacak bir satıcı olarak, bunları verimli ve kapsamlı bir şekilde yanıtlamakta zorlanıyorsunuz.
Güvenlik anketi nedir?
Bir kuruluşun, genellikle bir satıcının elinde, kontrolleri dışında olduğunda verilerinin güvenli olup olmayacağını değerlendirmesi gerektiğinde bir güvenlik anketi kullanılır.
Tüketiciler ve müşteriler, iş ve özel verileriyle ilgili kuruluşların, bu kuruluşun kontrolü altındayken güvenli olacağı varsayımıyla kuruluşlara güvenirler. Kuruluşlar, kuruluş dışındaki herhangi bir kişi veya kuruluşun, kuruluşunkine eşit bir minimum güvenlik düzeyine sahip olmasını sağlamalıdır.
Başka bir deyişle, cüzdanınızın güvende olduğundan emin olmak için her yere sizinle birlikte gelen karatede siyah kuşaklı bir korumanız varsa, korumasının karatede en az bir siyah kuşağı yoksa kimsenin cüzdanınızı ödünç almasına izin veremezsiniz. Ve cüzdanınızı teslim ettiğinizde her iki korumanın da orada olması gerekir, her ne kadar devir işleminin gerçekleştiği yer de tamamen güvenli olsa da.
Güvenlik anketleri genellikle aşağıdaki üç yerden birinden gelir:
- Verilerinize erişmek için gereken tüm minimum güvenlik gereksinimlerinin bir değerlendirmesini içeren, genellikle bir elektronik tabloda kendinizinkini oluşturun (ör. "Korumanızın benim korumam kadar iyi olduğunu kanıtlamak için bu formu doldurun").
- Kendi satın al. SIG (Standartlaştırılmış Bilgi Toplama) Anketi gibi bir şeyle çitleri sallayabilir ve her şeyi değerlendirebilirsiniz. Veya belirli bir riski, örneğin bir ağ güvenliği değerlendirme aracı olan Nessus ile değerlendirebilirsiniz.*
- Herkese açık bir güvenlik anketi ödünç alın. Bazı kar amacı gütmeyen kuruluşlar, benzer düşüncelere sahip profesyonellerden oluşan bir üyelerin üzerinde anlaşmaya vardığı standartları kapsayan anketler sağlar. Bu tür bir örnek, Cloud Security Alliance (CSA) tarafından yayınlanan Consensus Assessment Initiative Questionnaire'dir (CAIQ).
Güvenlik anketinin olmadığı bir şey durum tespiti anketidir (DDQ) . İki büyük fark var. Birincisi, DDQ'lar o kadar ayrıntılı değildir ve daha çok sürece odaklanır. Bir kuruluş, standartlarına nasıl uyacağınızı ve ihtiyaçlarını nasıl karşılayacağınızı öğrenmek istediğinde bir DDQ alabilirsiniz. Kanıtı sağlamanız gereken güvenlik anketinde.
İkincisi, DDQ'lar genellikle bir güvenlik anketine kıyasla satış sürecinde daha erken gelir. DDQ'yu ilk filtre olarak düşünün. Kuruluşlar, DDQ aşamasında nasıl uyulacağını bilmiyorsanız, satış sürecinin ilerleyen aşamalarında ayrıntılar üzerinde zaman harcamaya değmeyeceğini düşünüyor.
Bu, güvenlik anketlerinin satış sürecinde önemli kilometre taşları olarak görülmesi gerektiği anlamına gelmez. DDQ'lar gibi erken görünebilirler, ancak satış sürecinin ilerleyen aşamalarında demo aşamasında veya işe alım planları şekillenmeye başladığında kapanıştan sonra da görünebilirler. Bir güvenlik anketi almak, nihai başarınızın bir göstergesi değildir. Ancak zamanında ve doğru bir şekilde yanıt vermemek, kesinlikle bir anlaşmayı öldürebilir.
Güvenlik anketlerine neden ihtiyaç duyulur?
Eski zamanlarda, yazılım uygulamaları şirket içinde veya şirket içinde barındırılırdı, bu da verilerin sahibinin her zaman ona sahip olduğu anlamına geliyordu. Hâlâ güvenlik anketleri vardı, ancak bunlar çok daha az ilgiliydi.
SaaS değişimiyle, veriler ve iş açısından kritik uygulamalar üçüncü bir tarafa emanet edilir. Bir kuruluş bir SaaS çözümünü kullanmaya başlamadan önce, güvenlik açısından iki şeye güvenmelidir. Birincisi, tüm verileri bu SaaS çözümünün satıcısıyla güvende olacaktır.
İkincisi, uygulama ihtiyaç duyulduğunda ve üzerinde anlaşmaya varılan çalışma süresi karşılaştırma ölçütleriyle uyumlu olduğunda kullanılabilir olacaktır (örneğin, İK sisteminin bordroyu işleme koymadan hemen önce çökmesini istemezsiniz). SaaS çözümlerinin saldırısının bir sonucu olarak güvenlik anketleri çoğaldı.
Bununla birlikte, güvenlik anketleri, şifreleme veya depolama gibi veri güvenliğine özgü yönlerden daha fazlasını değerlendirir. Sorular, ağ güvenliği, denetim ve uyum süreçleri ve hatta konumlarınızın fiziksel güvenliğini kapsayabilir. Gerçek şu ki, anketler iki temel nedenden dolayı daha yaygın, daha uzun ve daha karmaşık hale geliyor.
İlk olarak, SaaS çözümleri karmaşıklık ve ara bağlantı açısından büyüyor. Nadiren tamamen bağımsız bir iş uygulaması vardır. Kuruluşların daha büyük bir hedefe ulaşmasına yardımcı olmak için genellikle birbirleriyle konuşmaları gerekir.
Birbiriyle konuşması gereken daha fazla uygulama, daha fazla riske maruz kalma, bu da daha sıkı güvenlik değerlendirmeleriyle sonuçlanır.
İkincisi, tehditler sürekli gelişiyor. %100 güvenli sistem diye bir şey yoktur, çünkü öncelikle sistemler ne kadar güvenli ve akıllı olursa olsun, her zaman bir yerlerde insan parmak izi olacaktır.
%88
Veri ihlallerinin çoğu insan hatasına atfedilebilir.
Kaynak: CISO Mag
Oylama sistemlerinden yakıt dağıtım ağlarına ve büyük perakendecilere kadar, kötü aktörler, zayıflık buldukları her yerde siber saldırıları yönlendirmek için hızla dönebilir.
Güvenlik anketi gözden geçirenler ne bekliyor?
Dürüst, doğrudan ve eksiksiz bir yanıt. Ve zamanlarına saygı duymak. Talimatlara dikkat edin. Bazı sorular kısa ve doğrudan cevaplar gerektirir. Diğerleri, yerinde kontrol türleri hakkında ayrıntılı açıklamalar gerektirir.
Otomasyon desteğiyle bile, doğru şekilde yanıtlandığından emin olmak için her yanıtı düşünmeniz gerekir. İki parçalı bir yanıt gerekiyorsa, her zaman yanıtınızın kısa bir açıklamasını sağlayın. Bu, özellikle “hayır” veya “uygun değil” yanıtını vermeniz gerektiğinde önemlidir.
Cevabınız her zaman olumlu olmak zorunda değildir. Evet deme çünkü bir şeyi hayata geçirme planların var. Bu planlar, yerine getiremeyeceğiniz yükümlülükler haline gelir. Teslim edemezseniz asla olumlu cevap vermeyin. Her zaman müşterinin kanıt istemesini bekleyin.
Doğrudan olun. Aktif bir ses kullanın. Kesinlik önemlidir. Bazen sorular birden çok kez farklı şekillerde sorulur. Kopyalayıp yapıştırmaktan ve muhtemelen kulağa kaçamak gelmekten kaçının. Hakemlerin önceliklerini tahmin etmeye çalışarak zaman kaybetmeyin. Neyin zorunlu olduğunu nadiren açıklarlar. Uyum ve risk ekiplerinin tüm yanıtları ince dişli bir tarakla gözden geçireceğini varsayın.
Amacınız mümkün olduğunca eksiksiz bir yanıt almak olmalıdır. Yanıt ne kadar eksiksiz olursa, takip etme olasılığınız o kadar az olur - risk değerlendirmesi ne kadar erken tamamlanırsa, anlaşma o kadar erken tamamlanabilir. Güvenlik anketi yanıtının anlaşmayı geciktirmesini istemezsiniz. Satış sürecinde daha sonra gelirler ve çok sayıda takip veya açıklama süreci yavaşlatır ve bu da satış ekibinizi sonuna kadar hayal kırıklığına uğratır.
Bir güvenlik anketinin temel bileşenleri
Çoğu durumda, güvenlik anketleri geniş bir güvenlik kontrolleri yelpazesini değerlendirir. Birden çok güvenlik türüyle ilgili sorular bekleyin.
Güvenlik "Lezzet" | Örnek Soru |
Uygulama Güvenliği | Web uygulamanızın bir SSL sertifikası var mı? |
Denetim ve Uygunluk | California Tüketici Gizliliği Yasası (CCPA) uyumluluğunu ne sıklıkla denetlersiniz? |
İş devamlılığı | Kesinti durumunda uygulamanız nasıl hizmette kalır? |
Olağanüstü Durum Kurtarma | Veri ihlali durumunda, bize bildirmeniz ne kadar sürer? |
Kontrolü değiştir | Acil değişikliğin tanımı nedir? |
Veri/Bilgi Güvenliği | Güvenlik programınız hangi yönergeleri takip ediyor? |
Veri gizliliği | Verilerinizi yedekleme süreci nedir? |
Şifreleme Yönetimi | Ürün şifreleme veya diğer şifreleme teknikleri kullanıyor mu? |
Fiziksel güvenlik | Ortak bir ofis alanında mı çalışıyorsunuz? |
Yönetişim ve Risk Yönetimi | Güvenlik olaylarının kaydını tutuyor musunuz? |
İK | Çalışanlarınıza siber saldırıları nasıl tespit edecekleri konusunda eğitim veriyor musunuz? |
Kimlik ve Erişim Yönetimi | Uygulamanız tek oturum açma (SSO) sunuyor mu? |
Üçüncü Taraf Yönetimi | Güvenlik işlevlerini üçüncü taraf sağlayıcılara yaptırıyor musunuz? |
Güvenlik Açığı Yönetimi | Zafiyet analizleri yapmak için hangi yazılım veya teknikleri kullanıyorsunuz? |
Birçok soru ve içerik gereksinimi aşağıdaki dört bileşenden birinin kapsamına girecektir.
1. Güvenlik uygunluk sertifikaları
Güvenlik uyumluluk sertifikalarının kanıtı, bir güvenlik anketinde en sık istenen bilgi parçasıdır. Güvenlik uyumluluğu sertifikalarının örnekleri arasında Hizmet Organizasyonu Kontrol 2 (SOC 2), Uluslararası Standardizasyon Organizasyonu (ISO) ve Ulusal Standartlar ve Çerçeve Enstitüsü'nün Siber Güvenlik Çerçevesi (NIST CSF) yer alır.
2. Siber güvenlik politikaları ve politika belgeleri
Bunlar muhtemelen en çok zamanınızı alacak. Bilgi, fiziksel, uygulama, altyapı ve ağ güvenliği dahil olmak üzere birçok alanı kapsarlar. Bu sorular BT güvenliğinizi, veri gizliliğinizi ve iş esnekliği politikalarınızı değerlendirir. Bazen tüm politika belgesini sağlamanız istenecektir. Diğer zamanlarda belirli bölümleri çıkarmanız istenecektir.
3. Güvenlik prosedürleri
Bu bileşen, kuruluşların müşteri bilgilerini, verilerini ve sistemlerini korumak için prosedürlerinizi değerlendirmek istediği yerdir.
Sorular ve istekler şunlara odaklanabilir:
- Çalışan güvenliği farkındalığı eğitimi için prosedürler
- Sunucularda veya masaüstlerinde yama uygulama, yükseltme ve güvenlik açıklarını azaltma prosedürleri
- Güvenlik ihlali veya başka bir olay durumunda olay yönetimi prosedürleri
- Uzun süreli arıza süresi durumunda olağanüstü durum kurtarma ve iş sürekliliği planı
- Kötü amaçlı etkinlik için izleme ve izleme
4. BT riskleri ve azaltma kontrolleri
Bir kuruluş, sizi satıcı olarak ekleyerek riskinizi kabul edecekse, neyle karşı karşıya olduklarını bilmeleri gerekir. Daha da önemlisi, riski azaltmak için halihazırda ne yaptığınızı bilmek istiyorlar.
Şunlar gibi sorgular göreceksiniz:
- Bir risk yönetim planı gönderin
- Veri ve bilgi sistemlerimizi doğrudan etkileyebilecek risklerin listesini belirleyin
- Risk değerlendirme metodolojinizi tanımlayın
- Riskleri azaltmak için güvenlik kontrollerini listeleyin
- Risk yönetiminden sorumlu personeli/rolleri listeleyin
Muhtemelen bu soruların çoğuna zaten sahip olduğunuzu unutmayın. Soru şu ki, nerede bulunuyorlar? Güvenlik anketlerini daha hızlı yanıtlamanın anahtarı budur.
Güvenlik anketlerine daha hızlı yanıt vermek için 5 ipucu
SaaS'ın (ve hizmet olarak altyapı [IaaS] ve hizmet olarak platform [PaaS]) yaygınlaşmasının bir sonucu olarak daha fazla güvenlik anketinin gelmesiyle birlikte, her yıl birden çok ankete sorunsuz bir şekilde yanıt vermek için doğruluk, verimlilik ve tekrarlanabilirlik çok önemli olacaktır. Bu beş ipucu yardımcı olacaktır.
Yanıtları otomatikleştirmek için yapay zeka ve makine öğrenimi uygulayın
Otomasyon çözümleri zaten var. İronik olarak, onlar da SaaS. İster kendinizinkini kuruyor olun ister bir satıcı arayın, önemli olan, çözümün yalnızca kopyalayıp yapıştırmaktan daha fazlasını yapmak için AI/ML özelliklerine sahip olmasıdır. Herhangi bir yanıt bulmaktan daha çok yanıt vardır; en iyi cevabı hızlı bir şekilde bulabilmelisin.
Yanıtları aramayı ve güncellemeyi kolaylaştırmak için bir içerik yönetimi çözümü geliştirin
Muhtemelen güvenlik anketlerinin yanıtlarının çoğuna zaten sahipsiniz. Genellikle sorun, bu yanıtların bulunduğu belgelerin silolanmış, çoğaltılmış, güncelliğini yitirmiş olması, yalnızca sınırlı erişime izin vermesi ve aranabilir olmamasıdır. İçeriğinizi merkezileştirmek bu sorunu çözecektir.
Doğruluğu artırırken geri dönüş süresini azaltmak için en iyi uygulamaları izleyin
İç ve dış işbirliği mekanizmalarınız burada iyileştirme sağlayacaktır. AI/ML özellikli otomasyona ek olarak, konu uzmanlarının yanıtlaması ve incelemesi için sıralı atamalar da otomatikleştirilebilir. Eksik veya yanlış bir yanıttan kaynaklanabilecek sinir bozucu takip sorularından kaçınmak için ekibinizi adım adım ilerletmek çok önemlidir.
Üçüncü taraf çevrimiçi portallarla doğrudan etkileşim kurmak için teknolojiyi destekleyen bir SaaS çözümü belirleyin
AI/ML otomasyonu, elektronik tablolar, belgeler veya PDF'ler gibi indirilebilir formlarda en iyi sonucu verir. Çevrimiçi portallar daha zahmetlidir ve bu yazı itibariyle, yalnızca güvenlik anketi veren ve yanıt veren çözüm sağlayıcılar arasındaki arka uç ortaklıkları yoluyla otomatikleştirilebilir.
Yardımcı olabilecek bir teknoloji, içerik kitaplığınıza bağlanan bir tarayıcı uzantısı portalıdır. Yanıtlara erişmek için uygulamalar arasında geçiş yapmanız gerekmediğinden çevrimiçi bir portal üzerinden daha hızlı çalışmanıza yardımcı olurlar.
Güvenlik anketlerini müşterinin son teslim tarihinden önce tamamlayın
Bu, yeterliliği ve iyi niyeti gösterir. Ayrıca, değerli zamanlarına saygı gösterirken güvenliği ciddiye aldığınız için müşterinize daha fazla gönül rahatlığı sağlar.
Güvenlik anketlerinin geliri engellemesine izin vermeyin
Güvenlik anketlerini şu ya da bu biçimde yanıtlamak, öngörülebilir gelecekte satıcıyı işe alma sürecinin bir parçası olacaktır. Mevcut duruma bağlı olarak, güvenlik anketlerinin boyut ve karmaşıklık açısından büyümeye devam etmesini bekleyebilirsiniz.
Siber güvenlik harcamalarının 1 trilyon doları aşması planlanıyor ve üçüncü taraf satıcılar veri ihlallerinin %63'ünden sorumlu. Kuruluşlar, verilerinin güvende olacağına ve uygulamalarının kullanılabilir olacağına dair daha fazla güvence isteyecektir.
Girişten gönderime kadar bir güvenlik anketi alan iş süreçlerini uygulayarak, yanıt sürecini mümkün olduğunca otomatik hale getirerek ve konu uzmanlarını görev başında tutmak için işbirliğini geliştirerek, anketleri yanıtlama şeklinizi hızlandırabilir ve basitleştirebilirsiniz. Amacınız, güvenlik anketlerinin satış sürecinde bir darboğaz olmasına asla izin vermemektir.