Las desventajas honestas de un ISMS de código abierto
La confianza se construye nombrando los inconvenientes, no ocultándolos.
El argumento en contra de nuestro propio modelo
Construimos software de cumplimiento de código abierto, así que tenemos motivos para ser honestos sobre dónde es más débil. Nombrar los inconvenientes es la forma de ganarse la confianza.
Aquí están los cuatro que importan, y lo que hacemos respecto a cada uno.
Si autoaloja, asume la carga operativa: actualizaciones, copias de seguridad, disponibilidad y seguridad del servidor. Muchas empresas del Mittelstand no disponen de capacidad libre para eso.
Nuestra respuesta: una opción alojada elimina la carga operativa, mientras que el autoalojamiento sigue disponible para quienes deseen el control total de los datos.
El código abierto rara vez incluye un acuerdo de soporte empresarial. El soporte de la comunidad varía en rapidez, y el nivel gratuito es por naturaleza de mejor esfuerzo.
Nuestra respuesta: existen niveles de pago de soporte y hosting para los equipos que necesitan una respuesta garantizada, y decimos con claridad que el nivel gratuito no es un SLA.
Un SaaS estadounidense bien financiado tendrá a menudo más integraciones certificadas y más pulido. Algunas funciones que requieren tiempo de desarrollo pertenecen al nivel premium en lugar del gratuito.
Nuestra respuesta: para la mayoría de las empresas del Mittelstand, el cuello de botella bajo NIS 2 es la estructura y un registro de auditoría limpio, no el número de integraciones. Construimos primero para esa necesidad.
El código abierto es una herramienta, no un consultor. Estructura el trabajo y registra la evidencia, pero los juicios de valor siguen siendo suyos: si un riesgo es aceptable, si una medida es proporcionada conforme al artículo 21(1) NIS 2.
Eso vale para cualquier herramienta, abierta o cerrada. Ningún software le exime del deber que el § 30 BSIG impone a la entidad.
Preguntas frecuentes
¿Es la versión gratuita realmente gratuita o una prueba?
Es de uso gratuito, no una prueba limitada en el tiempo. Tenemos previsto financiar el proyecto a través de formación, hosting y ofertas de socios en lugar de licencias por puesto.
¿Qué ocurre si el proyecto se abandona?
Como el código es abierto (AGPL), usted lo conserva y puede autoalojarlo o bifurcarlo. No se queda desamparado como puede ocurrir cuando un proveedor cerrado cierra.
¿Necesito personal de TI para operarlo?
Solo si autoaloja. La opción alojada elimina la carga operativa; el autoalojamiento está ahí para los equipos que quieren el control total.
¿Está listo para auditoría desde el primer momento?
Produce la estructura y el registro de auditoría que un auditor espera. Las decisiones sustantivas las sigue tomando y documentando usted.
¿Es el código abierto más arriesgado para datos de cumplimiento sensibles?
Código abierto no significa datos abiertos. Los datos residen donde usted los aloja; con hosting en la UE o autoalojamiento pueden permanecer plenamente bajo su control.