Varnostni vprašalnik kot napovednik prodajnega cikla
Procuring programske opreme poslovnega softvera konsistentno proizvaja napovedljiv vzorec: ponudnik z močno funkcionalnostjo izgubi dogovore — ali izgubi mesece — varnostnim vprašalnikom.
Proces vprašalnika obstaja s dobrim razlogom. Varnostne ekipe podjetja so odgovorne za podatke, ki jih dopustijo ponudnikom, in regulirane industrije imajo posebne zahteve za dokumentacijo ponudnikov. Zdravstvene organizacije morajo dokumentirati, kako ponudniki ravnajo s PHI. Finančne službe morajo pokazati varnostne kontrole ponudnikov regulatorjem. Pravne organizacije morajo zaščititi zaupnost strank.
Proces vprašalnika je legitimen. Vendar za ponudnike brez močnih varnostnih arhitektur postane razširjena kvalifikacijska vrata, ki se redko hitro pomikajo naprej.
Vprašanja, ki zaustavijo ali pospešijo nabavo
Vprašalniki varnosti podjetnih ponudnikov običajno zajemajo 100 do 200+ vprašanj. Večina vprašanj ima branljive odgovore za katerega koli kompetentnega ponudnika — vprašanja o upravljanju popravkov, usposabljanju zaposlenih, načrtih odziva na incidente. Ta vprašanja imajo odgovore; le zahtevajo dokumentacijo.
Podmnožica vprašanj ustvari nesorazmerno trenje za ponudnike oblaka brez arhitekture ničelnega znanja:
"Ali lahko vaš osebje dostopa do podatkov strank?"
Za ponudnike, kjer je šifriranje na strani strežnika, je natančen odgovor: da, v določenih okoliščinah. Inženirji tehnične podpore imajo dostop do orodij, ki lahko pregledajo podatke strank za odpravljanje napak. Pravni proces lahko prisili proizvod