Come comunicare quanto è sicuro il tuo sistema per i clienti del tuo datore di lavoro

4

Le aziende devono raccogliere informazioni sui loro clienti e i clienti spesso vogliono essere sicuri che le loro informazioni siano al sicuro. Qual è il modo accettato di comunicare in modo conciso e chiaro la sicurezza dei sistemi che stanno trasmettendo e archiviando i dati del cliente? Da quello che posso dire, sembra che citare il rispetto di uno standard di sicurezza (come ISO27001) sia la strada da percorrere quando si parla con un professionista della sicurezza (è corretto?), Ma qualcuno ha esperienza nel spiegare con successo "la sicurezza "il tuo sistema è rivolto a una persona" laica "con una comprensione minima o nulla della sicurezza delle informazioni? Solo "La nostra azienda soddisfa o supera gli standard di sicurezza accettati per il nostro settore"? È abbastanza informazioni? Nella tua esperienza, quanti dettagli desidera la maggior parte delle persone?

Informazioni di base: la nostra azienda raccoglie dati sensibili sui nostri clienti nell'ambito di un processo di accreditamento per i servizi ai quali desidera ottenere la qualificazione con una terza parte. La maggior parte di questi clienti sono proprietari di piccole imprese, ad es. idraulici, dentisti, proprietari di ristoranti, ecc.

Questa domanda potrebbe essere soggettiva, ma rientra nel regno di " buono soggettivo ".

Modifica

Questo non è un duplicato di Come ottenere il supporto della gestione top per i progetti di sicurezza? . Questo post riguarda la comunicazione con gli altri all'interno della tua organizzazione, mentre questa domanda riguarda la comunicazione con persone esterne alla tua organizzazione, che è molto più sensibile. Puoi spiegare a un superiore perché il tuo sistema non è "sicuro al 100%", ma devi essere più diplomatico con un cliente, pur essendo conciso.

    
posta browly 05.08.2015 - 19:43
fonte

1 risposta

9

La risposta alla tua domanda dipende da una serie di fattori, tra cui,

  • "Chi sono i tuoi clienti" - Diverse aziende vorranno diversi livelli di sicurezza, ad esempio una banca che invia dati finanziari (si spera) vorrà maggiore sicurezza di un menu di condivisione del caffè.
  • "Quali dati stai elaborando per i tuoi clienti" - Anche in questo caso influirà sulla risposta, se ci sono dei regolamenti in gioco che potrebbero indurti a dover fornire specifici moduli di attestato di sicurezza.

Detto questo, ci sono un certo numero di strategie che puoi usare, nessuna (a mio parere) perfetta.

  • ISO27001. Questo è comune perché è riconosciuto a livello internazionale. Come hai fatto, probabilmente avrai scoperto che il diavolo è nei dettagli, cose come la portata di quali parti della tua attività certifichi influenzeranno enormemente la facilità con cui si ottengono. Nota anche che ISO27001 è forse più dedicato a documentare ciò che fai bene piuttosto che fare necessariamente le cose giuste, e quel punto è abbastanza noto, direi.
  • Assicurazione di terze parti. È possibile ottenere una terza parte per fare recensioni di sicurezza e fornire riassunti di questi che è possibile dare ai clienti. questo è comunemente visto nel mondo della sicurezza tecnica (ad esempio, Pen Test Reports) e anche altrove (ad esempio SAS-70). Quanto siano convincenti questi possono dipendere da quali test hai effettivamente fatto e da quanto sono esperti i tuoi clienti (cioè possono dire la differenza tra un test dettagliato e un rapido test superficiale)
  • Consenti ai tuoi clienti di controllarti. Può essere appropriato (o addirittura obbligatorio) per i grandi clienti. ha il vantaggio di essere in grado di testare esattamente ciò che conta per loro, e il rovescio della medaglia di avere gruppi di auditor che fanno regolarmente il giro di domande scomode.

In definitiva comunque nessuno di questi funziona davvero con clienti non esperti. Esiste un massiccio " mercato dei limoni " in sicurezza, dove i consumatori non possono distinguere la differenza tra due società, in genere perché tutti reclamare la sicurezza perfetta (mai vedere un sito dire "hey la sicurezza non è così importante per noi, ma dacci comunque i tuoi dati") e non esiste uno standard imparziale efficace obbligatorio.

Con un cliente esperto, consiglierei di chiedere loro cosa è importante per loro sulla sicurezza e su come vorrebbero vederlo provato.

    
risposta data 05.08.2015 - 21:09
fonte

Leggi altre domande sui tag