编者注:信息技术的生态系统在不断发展。总是会有坏人,所以组织必须知道他们信任的软件即服务(SaaS)平台的数据是受到保护的。在本文中,克里斯·皮克他分享了为什么安全实践的透明度对于与需要企业级平台来管理其工作的客户建立和维持信任至关重要。
1997年大学毕业后,我开始在“微笑行动”(Operation Smile)担任医疗任务协调员,这是一个非营利组织,旨在为世界各地的唇腭裂手术提供便利。由于大多数非营利组织的预算都不高,我在那里的副业主要是it。我建立数据库,维护系统,并培训员工如何使用上述所有技术。
我帮助实施了“微笑行动”的第一批远程医疗活动,将不同国家的医生联系起来,进行咨询和现场手术。这些事件证明了技术的强大力量,经过反思,对安全专业人员来说,保护使用它的人是多么重要——尤其是个人或机密数据。
在我的职业生涯中,有一件事非常清楚:安全领导者及其团队必须致力于提供出色的客户体验。这种以客户为中心的观点需要由对数据隐私的承诺、赢得和维护人们的信任、安全测试的透明度以及对更广泛的信息安全社区的贡献来驱动。
数据保护的演变
根据多年的研究和工作经验,我了解到,在处理客户数据时,如果没有透明度,就无法赢得信任。例如,在20世纪90年代中期网上银行普及之前,很多人对摆脱传统银行持怀疑态度。在过去,你只需要亲自去当地的分行,填写存款单,与银行柜员或自动取款机进行交易,然后继续你的一天。
为了让人们为网上交易做好准备,银行需要向客户保证(并再次保证)他们的交易是安全、可靠的,并且易于从他们的家用电脑跟踪。同样,当您采用SaaS平台时,您将系统和数据的重要责任移交给提供商。
使用平台来管理工作的企业级组织需要知道他们可以信任他们的提供者来保护他们的数据。作为安全专业人员,保护也意味着不要查看客户添加到我们的SaaS平台的数据的细节。
赢得并维护客户信任
在Smartsheet,我们致力于赢得和维护客户的信任。作为这一持续承诺的一部分,我们将继续发展我们的企业级安全计划。我们将达到或超过企业安全标准,以确保Smartsheet是数据安全、隐私和治理的“交钥匙”。
我们的长期目标是释放Smartsheet的潜力,使客户能够使用不同灵敏度的数据,同时有信心以各种需要的方式保护数据。
虽然这是一个很好的切入点,但在你的公司网站上提供合规性认证、隐私和安全信息以及诸如此类的信息是很危险的。这就是我们建造智能表信任中心.
然而,当我或我的安全专家团队中的某个人直接与客户交谈时,我们可以更详细地了解他们公司的标准流程和操作程序,他们有或没有到位的控制,并坦率地说明从信息安全的角度来看,哪些用例适合我们的服务,哪些不适合。根据我的经验,这种程度的坦诚有助于我们与客户建立相互信任——这是持久合作关系的基础。
建立信任的第二件事是提醒人们,我们对改善我们的安全计划有永不停止的承诺。在我看来,成熟之旅的全部意义在于从来没有终点。您总是在不断进化,以适应不断变化的安全威胁。我的团队一直在创新改进产品和安全控制的方法,同时利用尖端技术,继续使Smartsheet平台安全。ob欧宝娱乐app手机下载
安全性测试的透明度
透明度是双向的;我们希望与客户保持对话,了解他们的要求和需求,把这些放在心上,并为此做些什么。他们相信他们的数据在我们的平台上是安全的,我们不能也不会分享他们的数据或信息。
当我曾经为安全专业人士做演讲时,如果他们使用基于云的服务,我会让他们举手。几乎每个人都举手了。接下来,我问他们是否信任这项服务,几乎所有人都放下了手。从那时起,我清楚地意识到,安全专业人员需要知道他们为什么信任或不信任服务提供商。
Smartsheet应用环境处于不断改进的状态,我们在硬件、网络、单个系统、业务、应用等各个层面不断进行迭代而全面的安全测试。这对于任何提供企业级SaaS平台的高完整性公司都是强制性的。
在应用程序层面,我们定期完成内部和外部渗透测试。作为开发过程的一部分,我们在应用程序级别上进行代码审查——在部署任何代码之前,我们都会进行主动扫描检查。
接下来,我们进行同行评审并参与Bug赏金计划,我们允许第三方研究人员查看我们的环境并报告错误。我们修复在这些过程中发现的任何错误或漏洞。从安全的角度来看,我们会考虑攻击可能来自的多个方向,以确保我们始终做好准备。
为信息安全社区做出贡献
信息技术是一个生态系统。云计算、本地数据中心、网络、电话系统、数字系统——如今,一切都是相连的。
因此,在Smartsheet,我们有意与组织和其他SaaS提供商合作,共同应对我们都面临的共同挑战。从产品的角度来ob欧宝娱乐app手机下载看,我们与其他企业级软件产品合作,如Salesforce和谷歌。这些公司已尽其所能确保自己的平台受到保护。
作为协同工作管理(CWM)领域的领导者,Smartsheet还融入了整个信息安全社区。2018年,Smartsheet加入了短信,恶意软件和移动反滥用工作组(M3AAWG),因为我们必须听取同行的意见,并与同行合作,以创建行业标准、文档并提供指导。
但它不仅限于此,因为各行各业的各种规模的组织每天都在使用Smartsheet。我们有一个独特的机会来倾听各行各业的客户,真正了解他们所面临的安全和数据隐私挑战,并在这个领域为其他SaaS提供商提供建议。这种水平的知识共享和围绕最佳实践的一致性使我们所有的客户受益。
通过参与像M3AAWG这样的组织,我们还可以帮助指导下一代技术专家和初创公司,他们已经在努力实现他们的伟大想法。由于大多数(但不是全部!)大型组织通常不那么敏捷,并且在转向、采用和创新方面速度较慢,因此为希望扩大规模的成长阶段公司和学生提供安全流程和协议的最佳实践非常重要。
最终,下一波公司将成熟,以技术为中心的学生将进入劳动力市场,然后引导我们共同的未来。安全专家有机会指导,是的,但也从下一代学习如何建立和维护与未来客户的信任。
订阅Smartsheet资讯科技通讯获取有关帮助IT专业人员提高其业务影响力的技巧、策略和想法。
要了解更多关于Smartsheet的信息安全、合规、数据治理和保护政策,请访问我们的信任中心。