您可以选择许多解决方案来帮助您发出安全问卷。
当回答一个安全问卷时,有更少的选择,但是你会很高兴知道解决方案帮助你去做一些被认为是一个刻苦的手工、重复的过程。
存在安全调查问卷,因此组织可以验证其数据在传输、使用和与第三方供应商保持静止时是否安全。消费者要求他们的私人、金融、医疗和其他数据始终处于安全状态。在大多数行业,存在合规性法规,以确保满足最低保护标准。
证明遵守,供应商必须填写安全问卷,作为风险评估的一部分。
传统上,安全问题调查表以电子表格或其他可下载文档的形式出现。如果你想节省时间并确保回答问卷时的一致性,自动化这些问卷的回复过程的技术解决方案是必不可少的。
越来越多的在线安全问卷门户网站使自动化变得棘手,要求供应商一个接一个地回答更多问题。虽然有一些技术和技术可以帮助加快在线门户网站的安全调查问卷的回答速度,但自动化战略严重依赖专有的第三方集成,这可能是昂贵的,而且可能只适用于一种“口味”的安全。
作为将面临越来越复杂的安全问题的供应商,您面临的挑战是如何有效和全面地回答这些问题。
当组织需要评估其数据在其无法控制时(通常在供应商手中)是否安全时,使用安全调查问卷。
消费者和客户信任组织,相信其业务和私人数据在该组织的控制下是安全的。组织必须确保组织之外的任何人或实体保持与组织相同的最低安全级别。
换句话说,如果你有一个空手道黑带保镖陪你去任何地方确保你的钱包安全,你不能让任何人借你的钱包,除非他们的保镖也至少有空手道黑带。当你交出钱包时,两名保镖都必须在场,即使移交地点也应该是完全安全的。
安全问卷一般来自以下三个地方之一:
安全调查问卷有一点是不正确的尽职调查问卷(DDQ). 有两个主要区别。第一,DDQ没有那么详细,更多地关注过程。当组织希望了解您将如何遵守其标准并满足其需求时,您可能会收到DDQ。在安全调查问卷中,你必须提供证据。
第二,在销售过程中,ddq通常比安全问卷来得早。可以将DDQ看作第一个过滤器。组织认为,如果您不知道如何在DDQ阶段遵守,那么就不值得在销售过程的后续细节上花费时间。
这并不一定意味着安全问卷应该被视为销售过程中的关键里程碑。它们可以像ddq一样出现在早期,但也可以出现在销售过程的演示阶段,甚至是在接近开始成形的时候。收到安全问卷并不能说明您最终成功了。但如果不能及时准确地做出回应,肯定会让交易流产。
在过去,软件应用程序被托管在内部,这意味着数据的所有者在任何时候都拥有它。仍然有安全调查问卷,但他们已经少了很多。
随着SaaS的转变,数据和业务关键型应用程序将被信任给第三方。从安全角度来看,在一个组织加入SaaS解决方案之前,它必须对两件事充满信心。首先,SaaS解决方案的供应商将确保其所有数据的安全。
第二,该应用程序将在需要时可用,并符合商定的正常运行时间基准(例如,您不希望人力资源系统在处理工资单之前崩溃)。由于SaaS解决方案的冲击,安全调查问卷激增。
然而,安全调查问卷评估的不仅仅是数据安全的特定方面,如加密或存储。问题可能涉及网络安全、审计和合规流程,甚至您所在位置的物理安全(仅举几例)。事实上,由于两个主要原因,调查问卷变得越来越普遍、越来越长、越来越复杂。
首先,SaaS解决方案的复杂性和互联性正在增长。很少有完全独立的业务应用程序。他们经常需要互相交谈,以帮助组织实现更大的目标。
需要相互通信的应用程序越多,风险就越大,从而导致更严格的安全评估。
其次,威胁不断演变。没有100%安全的系统,主要是因为无论系统多么安全和智能,总会有一个人的指纹。
从投票系统到分销网络,再到大型零售商,不法分子可以迅速转向任何他们发现弱点的地方,发动直接的网络攻击。
诚实、直接、完整的回应。尊重他们的时间。请注意使用说明。有些问题需要简短、直接的回答。另一些则要求详细解释现有控件的类型。
即使有了自动化支持,您也必须仔细考虑每一个响应,以确保它得到了正确的回答。如果需要两部分回答,总是提供一个简短的描述你的答案。当你必须回答“不”或“不适用”时,这一点尤其重要。
你的回答不必总是肯定的。不要因为你有实施某件事的计划就答应。这些计划成为你可能无法履行的义务。如果你做不到,就不要说肯定的话。总是期待客户要求证明。
直截了当。使用主动语态。简洁很重要。有时问题会以不同的方式被问多次。避免复制和粘贴,并可能听起来模棱两可。不要浪费时间去猜测评论者的优先级。他们很少透露什么是强制性的。假设合规和风险团队将仔细审查所有响应。
你的目标应该是得到尽可能完整的回答。响应越完整,跟进的可能性就越小——风险评估越早完成,交易就越快完成。您不希望安全调查问卷的答复阻碍交易。他们会在销售过程中出现得较晚,而多轮的跟进或澄清会减慢销售过程,这将使您的销售团队永无止境地感到沮丧。
在大多数情况下,安全调查问卷评估广泛的安全控制。预期会出现多种安全类型的问题。
安全“味道” |
示例问题 |
应用程序安全 |
您的web应用程序是否具有SSL证书? |
审计与合规 |
您多久审计一次《加州消费者隐私法》(CCPA)合规性? |
业务连续性 |
在停机的情况下,您的应用程序如何保持服务状态? |
灾难恢复 |
如果发生数据泄露,您需要多长时间通知我们? |
变更控制 |
紧急变更的定义是什么? |
数据/信息安全 |
你的安全计划遵循什么准则? |
数据隐私 |
备份数据的过程是怎样的? |
加密管理 |
产品是否使用加密或其他加密技术? |
物理安全 |
你是在共享的办公室工作吗? |
治理与风险管理 |
你有安全事件的记录吗? |
人力资源 |
您是否培训员工如何检测网络攻击? |
身份与访问管理 |
您的应用程序是否提供单点登录(SSO)? |
第三方管理 |
您是否将安全功能外包给第三方提供商? |
脆弱性管理 |
您使用哪些软件或技术来进行漏洞分析? |
许多问题和内容要求将属于以下四个组成部分之一。
安全合规性证明是安全调查问卷中最常要求的信息。安全合规证书的示例包括服务组织控制2(SOC 2)、国际标准化组织(ISO)和国家标准与框架研究所的网络安全框架(NIST CSF)。
这些可能是你最耗时的。它们涉及很多领域,包括信息、物理、应用程序、基础架构和网络安全。这些问题评估您的IT安全、数据隐私和业务恢复策略。有时会要求您提供完整的政策文件。其他时候,你会被要求拿出特定的部分。
组织希望在此组件中评估您保护客户信息、数据和系统的程序。
问题和请求可能集中于:
如果一个组织打算接受你的风险,将你加入为供应商,那么他们需要知道他们在做什么。更重要的是,他们想知道你已经在做什么来降低风险。
你会看到这样的询问:
请注意,您可能已经有了这些问题的许多答案。问题是它们在哪里?这是快速回答安全问卷的关键。
随着SaaS(以及基础设施即服务[IaaS]和平台即服务[PaaS])的普及,越来越多的安全调查问卷出现,准确性、效率和可重复性对于每年无缝回应多个调查问卷至关重要。以下五点建议会有所帮助。
自动化解决方案已经存在。讽刺的是,它们也是SaaS。重要的是,无论您是构建自己的解决方案还是寻找供应商,解决方案都具有AI/ML功能,不仅可以进行复制和粘贴。回应比找到答案更重要;你必须尽快找到最好的答案。
您可能已经获得了安全调查问卷的大部分答案。通常,问题是这些答案所在的文档是孤立的、重复的、过时的,可能只允许有限的访问,并且不可搜索。集中您的内容将解决此问题。
您的内部和外部协作机制将推动此处的改进。除了AI/ML支持的自动化之外,还可以自动提示主题专家回答和审查任务。让您的团队步调一致对于避免因回答不完整或不准确而产生令人沮丧的后续问题至关重要。
AI/ML自动化最适用于可下载的表单,如电子表格、文档或pdf。在线门户更麻烦,在撰写本文时,只能通过安全问卷发放者和响应者解决方案提供商之间的后端伙伴关系实现自动化。
一种可以提供帮助的技术是链接到内容库的浏览器扩展门户。它们可以帮助您更快地通过在线门户进行工作,因为您不必在应用程序之间切换以获取答案。
这体现了熟练和善意。这也让你的客户更安心,你认真对待安全,同时尊重他们的宝贵时间。
在可预见的未来,以一种或另一种形式回答安全问题调查表将是供应商入职过程的一部分。基于当前的景观,您可以预期安全调查问卷的规模和复杂性将继续增长。
网络安全支出预计将超过1万亿美元,第三方供应商占数据泄露的63%。组织将需要更多的保证,即他们的数据将是安全的,他们的应用程序将是可用的。
通过实现将安全问卷从接收到提交进行处理的业务流程,尽可能地自动化响应流程,并改进协作以使主题专家专注于任务,您可以加快并简化回答问卷的方式。你的目标是永远不要让安全问卷成为销售过程的瓶颈。
千万不要错过一个帖子。
订阅,让您的手指紧握科技脉搏。
