Upřímné nevýhody open source ISMS
Důvěra se buduje pojmenováním nevýhod, nikoli jejich skrýváním.
Protiargument k našemu vlastnímu modelu
Vyvíjíme open source software pro compliance, takže máme důvod být upřímní v tom, kde je slabší. Pojmenování nevýhod je cestou, jak si zasloužit důvěru.
Zde jsou čtyři, na kterých záleží, a co s každou z nich děláme.
Pokud provozujete ve vlastní režii, nesete provozní zátěž: aktualizace, zálohy, dostupnost a bezpečnost serveru. Mnoho společností segmentu Mittelstand na to nemá volné kapacity.
Naše odpověď: hostovaná varianta provozní zátěž odebírá, zatímco provoz ve vlastní režii zůstává k dispozici těm, kdo chtějí plnou kontrolu nad daty.
Open source jen zřídka přichází s podnikovou dohodou o podpoře. Komunitní podpora se liší rychlostí a bezplatná úroveň je ze své podstaty na bázi maximálního úsilí.
Naše odpověď: placené úrovně podpory a hostingu existují pro týmy, které potřebují zaručenou reakci, a otevřeně říkáme, že bezplatná úroveň není SLA.
Dobře financovaný americký SaaS bude mít často více certifikovaných integrací a více vyladěnosti. Některé funkce, které stojí vývojový čas, patří do prémiové úrovně, nikoli do bezplatné nabídky.
Naše odpověď: pro většinu společností segmentu Mittelstand je úzkým hrdlem v rámci NIS 2 struktura a čistá auditní stopa, nikoli počet integrací. Stavíme nejprve pro tuto potřebu.
Open source je nástroj, nikoli konzultant. Strukturuje práci a zaznamenává doklady, ale úsudkové otázky zůstávají vaše: zda je riziko přijatelné, zda je opatření přiměřené podle článku 21(1) NIS 2.
To platí pro každý nástroj, otevřený i uzavřený. Žádný software nezbavuje povinnosti, kterou § 30 BSIG ukládá subjektu.
Často kladené dotazy
Je bezplatná verze opravdu zdarma, nebo je to zkušební verze?
Je bezplatná k užívání, nikoli časově omezená zkušební verze. Projekt plánujeme financovat prostřednictvím školení, hostingu a partnerských nabídek, nikoli licencemi za jednotlivá místa.
Co se stane, pokud bude projekt opuštěn?
Protože je kód otevřený (AGPL), zůstává vám a můžete jej provozovat ve vlastní režii nebo forknout. Nezůstanete na holičkách tak, jak se to může stát, když uzavřený dodavatel ukončí činnost.
Potřebuji k provozu IT personál?
Pouze pokud provozujete ve vlastní režii. Hostovaná varianta provozní zátěž odebírá; provoz ve vlastní režii je tu pro týmy, které chtějí plnou kontrolu.
Je připraven k auditu rovnou z krabice?
Vytváří strukturu a auditní stopu, kterou auditor očekává. Věcná rozhodnutí stále činíte a dokumentujete vy.
Je open source rizikovější pro citlivá data o compliance?
Otevřený kód neznamená otevřená data. Data se nacházejí tam, kde je hostujete; s hostingem v EU nebo provozem ve vlastní režii mohou zůstat zcela pod vaší kontrolou.