システムの安全性を雇用主のクライアントに伝える方法
企業はクライアントに関する情報を収集する必要があり、クライアントは多くの場合、情報が安全であることの保証を求めています。クライアントのデータを送信および保存しているシステムの安全性を簡潔かつ明確に伝えるために受け入れられている方法は何ですか?私の知る限り、セキュリティ標準(ISO27001など)への準拠を引用することは、セキュリティの専門家と話すときの方法のように思えますが(それは正しいですか?)、「どれだけ安全か」をうまく説明した経験はありますか? 「あなたのシステムは、情報セキュリティをほとんどまたはまったく理解していない「一般の」人向けですか? 「私たちのビジネスは、業界で認められているセキュリティ基準を満たしているか、上回っています」だけですか?それで十分な情報ですか?あなたの経験では、ほとんどの人はどのくらいの詳細を望んでいますか?
背景情報:私たちのビジネスは、クライアントがサードパーティに資格を与えたいサービスの認定プロセスの一環として、クライアントに関する機密データを収集します。これらのクライアントのほとんどは、中小企業の所有者です。配管工、歯科医、レストランのオーナーなど。
この質問は主観的かもしれませんが、「 良い主観的 」の領域に分類されます。
編集
これは セキュリティプロジェクトのトップマネジメントサポートを取得するにはどうすればよいですか? の複製ではありません。その投稿は組織内の他の人とのコミュニケーションを扱っていますが、この質問は組織外の人々とのコミュニケーションに関するものであり、はるかに敏感です。システムが「100%安全」ではない理由を上司に説明することはできますが、簡潔でありながら、クライアントとより外交的になる必要があります。
あなたの質問への答えは、以下を含む多くの要因に依存します。
- 「あなたのクライアントは誰ですか」-さまざまな企業がさまざまなレベルの保証を求めています。たとえば、財務データを送信する銀行は、メニューを共有するコーヒーショップよりも多くの保証を求めています。
- 「クライアントのためにどのデータを処理していますか」-これも答えに影響します。規制が適用されている場合、特定の形式のセキュリティ証明書を提供する必要が生じる可能性があります。
そうは言っても、使用できる戦略はたくさんありますが、(私の意見では)完璧なものはありません。
- ISO27001。これは国際的に認められている一般的なものです。あなたがそれをしたとき、あなたは悪魔が詳細にあることに気付くでしょう、あなたが証明するあなたのビジネスのどの部分の範囲のようなものはそれがどれほど簡単に達成するかに大きく影響します。また、ISO27001は、必ずしもすべての正しいことを行うのではなく、自分の得意なことを文書化することを目的としていることにも注意してください。その点は非常によく知られていると思います。
- サードパーティの保証。サードパーティにセキュリティレビューを依頼して、顧客に提供できるこれらの概要を提供することができます。これは、技術的なセキュリティの世界(例:ペンテストレポート)で一般的に見られ、他の場所(例:SAS-70)でもある程度見られます。これらがどれほど説得力があるかは、実際に行ったテストと顧客がどれだけ精通しているかによって異なります(つまり、詳細なテストと迅速な表面的なテストの違いを理解できますか)
- あなたの顧客にあなたを監査させましょう。大規模なクライアントに適している(または義務付けられている)場合があります。彼らにとって重要なことを正確にテストできることの利点と、定期的に厄介な質問をする監査人のセットを持っていることの欠点があります。
ただし、最終的には、これらのいずれも、知識のない顧客には実際には機能しません。セキュリティには大規模な「 レモン市場 」があり、消費者は2つの会社の違いを区別できません。一般的に、すべての企業が完全なセキュリティを主張しているためです(サイトで「セキュリティはそれほど重要ではない」私たちに、しかしとにかくあなたのデータを私たちに与えてください」)そして義務付けられた効果的な公平な基準はありません。
知識のあるお客様の場合、セキュリティに関して何が重要であり、それがどのように証明されることを望んでいるかを尋ねることをお勧めします。