Szczere wady otwartego ISMS
Zaufanie buduje się, nazywając wady, a nie ukrywając je.
Argumenty przeciw naszemu własnemu modelowi
Budujemy oprogramowanie do zgodności oparte na otwartym kodzie, mamy więc powód, by być szczerymi co do tego, gdzie jest ono słabsze. Nazywanie wad jest sposobem na zdobycie zaufania.
Oto cztery, które mają znaczenie, i to, co robimy w każdym z tych przypadków.
Jeśli hostują Państwo samodzielnie, ponoszą Państwo obciążenie operacyjne: aktualizacje, kopie zapasowe, dostępność i bezpieczeństwo serwera. Wiele firm z sektora Mittelstand nie dysponuje wolnymi zasobami na ten cel.
Nasza odpowiedź: opcja hostowana zdejmuje obciążenie operacyjne, a samodzielny hosting pozostaje dostępny dla tych, którzy chcą pełnej kontroli nad danymi.
Open source rzadko jest dostarczany z umową wsparcia klasy enterprise. Wsparcie społeczności różni się szybkością, a darmowy poziom z natury opiera się na najlepszych staraniach.
Nasza odpowiedź: płatne poziomy wsparcia i hostingu istnieją dla zespołów, które potrzebują gwarantowanej reakcji, i mówimy wprost, że darmowy poziom nie jest objęty SLA.
Dobrze finansowany amerykański SaaS często będzie miał więcej certyfikowanych integracji i więcej dopracowania. Niektóre funkcje wymagające czasu inżynierów należą do poziomu premium, a nie do oferty darmowej.
Nasza odpowiedź: dla większości firm z sektora Mittelstand wąskim gardłem w ramach NIS 2 jest struktura i czytelna ścieżka audytu, a nie liczba integracji. To pod tę potrzebę budujemy w pierwszej kolejności.
Open source to narzędzie, a nie konsultant. Porządkuje pracę i rejestruje dowody, ale decyzje wymagające oceny pozostają Państwa: czy ryzyko jest akceptowalne, czy środek jest proporcjonalny w rozumieniu art. 21(1) NIS 2.
Dotyczy to każdego narzędzia, otwartego czy zamkniętego. Żadne oprogramowanie nie zdejmuje obowiązku, który § 30 BSIG nakłada na podmiot.
Najczęściej zadawane pytania
Czy darmowa wersja jest naprawdę darmowa, czy to wersja próbna?
Jest darmowa w użytkowaniu, nie jest ograniczoną czasowo wersją próbną. Planujemy finansować projekt poprzez szkolenia, hosting i oferty partnerskie, a nie poprzez licencje na stanowisko.
Co się stanie, jeśli projekt zostanie porzucony?
Ponieważ kod jest otwarty (AGPL), zachowują go Państwo i mogą hostować samodzielnie lub utworzyć fork. Nie zostają Państwo bez wyjścia, jak może się zdarzyć, gdy zamknięty dostawca zaprzestaje działalności.
Czy potrzebuję personelu IT, aby to uruchomić?
Tylko jeśli hostują Państwo samodzielnie. Opcja hostowana zdejmuje obciążenie operacyjne; samodzielny hosting jest dla zespołów, które chcą pełnej kontroli.
Czy jest gotowe do audytu od razu po uruchomieniu?
Tworzy strukturę i ścieżkę audytu, których oczekuje audytor. Decyzje merytoryczne nadal podejmują i dokumentują Państwo.
Czy open source jest bardziej ryzykowny dla wrażliwych danych dotyczących zgodności?
Otwarty kod nie oznacza otwartych danych. Dane znajdują się tam, gdzie je Państwo hostują; przy hostingu w UE lub samodzielnym hostingu mogą pozostać w pełni pod Państwa kontrolą.