Por qué te lo piden y qué debes enviarle a tu cliente
Así que esa gran compañía quiere comprar el servicio de tu startup, excelente, aunque tienes un pequeño problema: te enviaron un cuestionario de seguridad de la información y ciberseguridad (o el famoso Vendor Cybersecurity Policy Assessment).
Es infinito, tiene cientos de preguntas y con ojos vidriosos te preguntarás ¿por qué me piden que complete este cuestionario? ¿por qué tiene que ser tan extenso?
Estos cuestionarios son cada vez más comunes en la industria de la tecnología y, poco a poco se han vuelto más complejos de entender y de completar. Pero, tranquilo, aquí te contaremos de qué se tratan y por qué empresas como Santander, Walmart, Sura y Maerk te lo piden (o te lo van a pedir), además de cómo hacer para cerrar ese nuevo negocio.
¿Qué es un cuestionario de ciberseguridad?
El dichoso cuestionario es conocido profesionalmente como cuestionario de seguridad TI. Este es una herramienta para validar las prácticas de seguridad de la información y ciberseguridad de cualquier organización.
Suena difícil, pero estos cuestionarios se convierten en un termómetro con el que tus clientes podrán conocer si pueden o si deberían hacer negocios contigo.
Tienes que saber que estos cuestionarios pueden incluir desde 5 controles o hasta 350 controles y preguntas, sin embargo, al final quieren responder una sola pregunta: ¿Puedo confiar en ti para proteger la información de mi negocio?
Para la mayoría de las startups, (y en el mejor de los casos) esta suele ser la primera vez que toman conocimiento de sus prácticas de seguridad de la información y ciberseguridad y consideran crear un programa robusto que asegure su negocio.
Entonces, ¿qué es lo que piden los cuestionarios?
Tus clientes los llamarán de mil formas: formulario de ciberseguridad, autoevaluación, requerimientos de riesgos de TI, cuestionario de terceros, entre otros.
Pero, que no te espanten, sus preguntas siguen un ABC muy similar ya que se basan en estándares internacionales de seguridad de la información (tal vez te suene familiar la famosa ISO 27001) o en requerimientos obligatorios de su respectiva industria. Por ejemplo, el enfoque que pone un banco no suele ser el mismo que el de una entidad de salud. Más allá de que compartan algunos criterios, la evaluación puede cambiar según la industria.
Hackmetrix Insight: Te recomendamos identificar qué marco de cumplimiento le conviene cumplir a tu startup, dependiendo de tu industria, para que tengas mayor certeza de qué camino debes de seguir para tus clientes.
Algunos de los ámbitos en los que se enfocan los cuestionarios de seguridad son:
- Seguridad organizacional y física
- Seguridad de la infraestructura TI
- Seguridad de operaciones, administración y comunicaciones
- Pruebas de intrusión (pentesting, penetration testing o ethical hacking)
- Políticas de privacidad
- Gestión de incidentes y continuidad del negocio
- Control de accesos y permisos
- Prácticas y políticas de capacitación al personal
¿Qué debes enviarle a tu cliente?
Tienen distintos requerimientos. Tus clientes necesitan muy seguramente te van a pedir:
1.- Documentación: como puede ser simplemente presentar el programa de seguridad de tu empresa.
2.- Controles implementados: demostraciones de que implementas los controles descritos en ese documento.
3.- Evidencia: documentos y/o registros que demuestren lo aplicado e implementado.
Nos consta que habitualmente piden los tres puntos anteriores. Por ejemplo, imagina que te piden tus políticas de contraseñas. Ahí lo que tienes que presentar es:
1.- Documentación: Responder el cuestionario.
2.- Controles complementarios: Tu política.
3.- Evidencia: Como por ejemplo una captura de pantalla.
¿Por qué me piden un cuestionario de ciberseguridad?
Podemos resumirlo a la palabra dinero, pero también debes entender cada factor en profundidad.
Como vimos, los corporativos estarán evaluando si pueden confiar en ti y aquí es donde el cuestionario de seguridad hace su entrada triunfal para ayudarlos para:
- Medir los riesgos que podrían ocurrir por usar tus productos o servicios.
- Asegurarse de que haces lo mínimo necesario para proteger su información y la de sus clientes. Así evitarán que te transformes en un riesgo potencial de 86 millones de dólares para ellos.
- Mantenerse en cumplimiento de regulaciones locales y/o estándares internacionales de protección de datos. El cumplimiento de regulaciones suele venir de la mano con auditorías anuales que verifican los programa de seguridad, por lo tanto esto los obliga a exigir a sus proveedores tecnologías robustas y seguras.
- Evitar penalizaciones: Demás está decir que las penalizaciones por incumplimiento de normas y regulaciones son costosas, pero también podrían exponerse a daños reputacionales por no proteger los datos de sus clientes.
- Por último, necesitas tener un estándar de trabajo acorde a sus políticas con terceros (como proveedores de servicios o clientes).
Conclusión
La cantidad de vulnerabilidades es cada vez más alta, por ello los formularios de seguridad de la información son clave para prevenir ataques y evaluar los riesgos de trabajar contigo y tu startup.
Sin embargo, estos se convierten en un obstáculo para las startups que apenas si tienen procedimientos formales de ciberseguridad. Y no saber cómo llenarlos ralentiza o incluso detiene ventas importantes con clientes que te van a ayudar a escalar.
Entender de qué se tratan y conocer el ABC de lo que piden te servirá para:
- Dejar de abrumarte
- Contestar correctamente
- Optimizar tu proceso de respuesta
- Prepararte para crear un programa de seguridad que acompañe a tu equipo de ventas.
Si te sientes listo para el siguiente paso, te recomiendo que leas 9 pasos para completar el cuestionario de ciberseguridad de tu cliente para que puedas dimensionarlo mejor.
Si ya te llegó uno de estos cuestionarios y todavía no tienes claro qué hacer o necesitas ayuda para completarlo, contáctanos para apoyarte con la guía adecuada.