Kuesioner Keamanan Sebagai Prediktor Siklus Penjualan
Procurement perangkat lunak perusahaan secara konsisten menghasilkan pola yang dapat diprediksi: vendor dengan fungsionalitas kuat kehilangan kesepakatan—atau kehilangan bulan—ke kuesioner keamanan.
Proses kuesioner ada untuk alasan yang baik. Tim keamanan perusahaan bertanggung jawab atas data yang mereka izinkan vendor akses, dan industri yang diatur memiliki persyaratan khusus untuk dokumentasi vendor. Organisasi layanan kesehatan harus mendokumentasikan bagaimana vendor menangani PHI. Firma layanan keuangan harus menunjukkan kontrol keamanan vendor kepada regulator. Organisasi hukum harus melindungi kerahasiaan klien.
Proses kuesioner adalah sah. Tetapi untuk vendor tanpa arsitektur keamanan yang kuat, itu menjadi gerbang kualifikasi yang diperpanjang yang jarang maju dengan cepat.
Pertanyaan Yang Memblokir atau Mempercepat Procurement
Kuesioner keamanan vendor perusahaan biasanya mencakup 100 hingga 200+ pertanyaan. Sebagian besar pertanyaan memiliki jawaban yang dapat dipertahankan untuk vendor yang kompeten—pertanyaan tentang manajemen patch, pelatihan karyawan, rencana respons insiden. Pertanyaan ini memiliki jawaban; mereka hanya memerlukan dokumentasi.
Subset pertanyaan tertentu menciptakan gesekan yang tidak proporsional untuk vendor cloud tanpa arsitektur zero-knowledge:
"Bisakah staf Anda mengakses data pelanggan?"
Untuk vendor di mana enkripsi adalah sisi-server, jawaban yang akurat adalah: ya, dalam keadaan tertentu. Insinyur dukungan memiliki akses ke alat yang dapat melihat data pelanggan untuk...