Y hacerlo rápido para cerrar un negocio
7 minutos de lectura
Si estás aquí, muy probablemente ya recibiste un cuestionario de ciberseguridad o estás en el fastidioso proceso de completarlo.
También los llaman de otras formas: formulario de ciberseguridad, autoevaluación, requerimientos de riesgos de TI, cuestionario de terceros, entre otros.
No importa como lo llamen, tu cliente no va a firmar el contrato hasta ver tus respuestas y es probable que recibas un par de formularios más antes de cerrar nuevos negocios. Precisamente por esto, es que debes estar listo para contestarlos y no retrasar los procesos de ventas, ni correr el riesgo de arruinar un cierre de un contrato por completar mal el cuestionario.
Obviamente resolver 250 preguntas se vuelve complejo y confuso si no conoces sobre el tema. Afortunadamente, aquí te mostraremos cómo completar un cuestionario de ciberseguridad, las buenas prácticas y cómo hacerlo en el menor tiempo posible.
¿Cuánto tiempo toma completar un formulario o cuestionario de ciberseguridad?
Para las startups estos cuestionarios suelen ser el punto de partida en la ciberseguridad y esto hace que el proceso para completarlo tarde meses.
¿Cuántos meses? Eso dependerá de tres factores:
- Alcance del cuestionario: Unos se enfocan en saber si posees controles de ciberseguridad (que abarca software, servidores, aplicaciones, redes) y otros si tienes controles de seguridad de la información (que abarca la seguridad organizacional, infraestructura TI, seguridad física, entre otros).
- Esfuerzo asignado en tu empresa para completarlo: Las empresas que ya tienen un programa de seguridad y personal dedicado al área tardan días o semanas. Pero, como ya sabemos, las startups tienen recursos y tiempos limitados. Por ende, la única forma de apurarlo es que dediques el equipo entero y la mayor parte del día al proceso (lo cual es difícil o imposible si tu negocio está en pleno crecimiento).
- Cantidad de documentación, implementación y evidencia que poseas: Los cuestionarios solicitan que tengas evidencia de cómo proteges los datos de tus clientes y tus políticas de seguridad documentadas. Por eso, entre más tengas, más rápido pasarás el proceso ya que no tendrás que pasar de 0 a 100% de cumplimiento. Si tuvieras algunos procedimientos que están desordenados o no tuvieras absolutamente ningún procedimiento ni política entonces este es el punto de partida para comenzar un programa de seguridad o un Sistema de Gestión de Seguridad de la Información (SGSI).
El otro factor es conocer las mejores prácticas para abordar el proceso de forma eficiente.
Los 9 pasos:
Es fácil perder el foco y querer empezar a cubrir tus brechas a medida que lees las preguntas. Sigue estos tips para organizarte y evitar que el proceso de respuesta se vuelva largo o ineficaz.
- Asignar un coordinador encargado: Para favorecer el orden es recomendable que no haya muchos interlocutores. Asigna a una persona que centralice todas las respuestas.
- Anticípate a lo confuso: En un primer escaneo del cuestionario, marca las preguntas vagas o confusas y pregúntale al cliente de qué se trata. De esta forma, podrás ir avanzando con las demás mientras esperas a que te respondan.
- Proporciona solo la información requerida. Ni más ni menos, no te compliques con las respuestas. Si tu cliente necesita más información él se encargará de pedirla. Además, agregar detalles o datos que tu cliente no está solicitando podría generar más problemas o dudas de su parte.
- Involucra a las personas adecuadas: Para poder completarlo necesitarás de la colaboración de varios miembros de tu startup, para ello elige a las personas que sabes que pueden tener las respuestas, por ejemplo al líder de cada área. Ahora ya puedes dividir las preguntas y asignar la responsabilidad entre varias personas.
- Desglosa las preguntas: De esta forma podrás asegurarte de contestarlas correctamente. Una pregunta muy común es: ¿Su empresa tiene un programa de seguridad sólido, comunicado a los miembros y con un alcance que incluye toda la información procesada como parte de este proyecto?
Esta pregunta en realidad engloba tres: ¿Tienes un programa de seguridad?¿Tu equipo está al tanto de que existe?¿Cuál es el alcance del programa?
Separándolas podrás entender si cumples completamente con la pregunta o si hay partes que no cubres.
- Identifica tus brechas: Durante el desglose podrás reconocer si hay partes de las preguntas que no cubres. Tomando el ejemplo anterior: tienes un programa de seguridad pero tú equipo no está al tanto. Esa parte será tu brecha. Hazte una lista de estas brechas para saber lo que deberás mitigar más adelante.
- Prioriza tus brechas: Con tu lista de brechas identificadas podrás ordenarlas por mayor/menor facilidad y mayor/menor importancia y corregir las más críticas. También, si tienes un puñado de prácticas que cubren partes de las preguntas es momento de que se transformen en políticas, y así comenzar a construir de a poco tu programa de seguridad de la información.
- Crear una biblioteca de respuestas: Recopila y centraliza todas las respuestas en una biblioteca de respuestas, esto será clave para responder rápido los próximos cuestionarios. ¡Recuerda actualizarla siempre!
- No tienes que llenar todos los cuestionarios: Imaginate completar uno por cada cliente potencial… Sí, mejor no lo imagines. Hay un enfoque alternativo más conveniente: cumplir con un marco de cumplimiento como ISO 27001, PCI, HIPAA o SOC 2. Según la industria a la que perteneces será el más conveniente para tu negocio, y esto te permitirá no solo llenar cualquier cuestionario en días o semanas sino también tener un sistema sólido que proteja tu información y la de tus clientes.
Conclusión
Cada cliente potencial te enviará su cuestionario, pero tú no tienes que volverte loco y empezar a completar los cuestionarios a ciegas, en su lugar facilita el proceso creando un programa de seguridad o cumpliendo con un marco de cumplimiento acorde a tu industria o negocio.
Cumplir con un marco de cumplimiento o certificarte no te exenta de llenar cuestionarios pero definitivamente te ahorrará muchísimo tiempo y evitarás pasar un agobiante camino de respuesta con cada cliente potencial. Haz la diferencia y anticípate, así tendrás tu negocio seguro y un estándar de trabajo para responder rápidamente.
Usa estos tips para completarlos y el desafío te resultará menos abrumador. Con un poco de planificación puedes optimizar el proceso de respuesta, mantenerte cerca de la gestión de riesgos e incluso estar alineado a leyes y normativas de protección de datos.
Si necesitas ayuda con tu cuestionario, tienes dudas sobre cómo comenzar un programa de seguridad o no tienes claro qué camino debe tomar tu startup, contáctanos para que te demos una mano.