As desvantagens honestas de um ISMS de código aberto
A confiança constrói-se nomeando as desvantagens, não escondendo-as.
Os argumentos contra o nosso próprio modelo
Construímos software de conformidade de código aberto, por isso temos motivo para ser honestos quanto aos seus pontos mais fracos. Nomear as desvantagens é a forma de conquistar confiança.
Eis as quatro que importam, e o que fazemos em relação a cada uma.
Se aloja você mesmo, assume a carga operacional: atualizações, cópias de segurança, disponibilidade e segurança do servidor. Muitas empresas do Mittelstand não dispõem de capacidade livre para isso.
A nossa resposta: uma opção alojada elimina o encargo operacional, ao passo que o alojamento próprio permanece disponível para quem quer controlo total dos dados.
O código aberto raramente vem com um acordo de apoio empresarial. O apoio da comunidade varia em rapidez, e o nível gratuito é, por natureza, prestado segundo os melhores esforços.
A nossa resposta: existem níveis pagos de apoio e de alojamento para equipas que precisam de uma resposta garantida, e dizemos com clareza que o nível gratuito não é um SLA.
Um SaaS americano bem financiado terá, muitas vezes, mais integrações certificadas e mais acabamento. Algumas funcionalidades que exigem tempo de engenharia pertencem ao nível premium e não ao gratuito.
A nossa resposta: para a maioria das empresas do Mittelstand, o estrangulamento ao abrigo da NIS 2 é a estrutura e um registo de auditoria limpo, não o número de integrações. É para essa necessidade que construímos primeiro.
O código aberto é uma ferramenta, não um consultor. Estrutura o trabalho e regista as provas, mas as questões de juízo continuam a ser suas: se um risco é aceitável, se uma medida é proporcionada ao abrigo do artigo 21(1) NIS 2.
Isto é válido para qualquer ferramenta, aberta ou fechada. Nenhum software exonera do dever que o § 30 BSIG impõe à entidade.
Perguntas frequentes
A versão gratuita é mesmo gratuita, ou é uma versão de avaliação?
É de utilização gratuita, não uma versão de avaliação com prazo limitado. Pretendemos financiar o projeto através de formação, alojamento e ofertas de parceiros, e não através de licenças por utilizador.
O que acontece se o projeto for abandonado?
Como o código é aberto (AGPL), fica com ele e pode alojá-lo você mesmo ou criar uma derivação (fork). Não fica desamparado como pode acontecer quando um fornecedor fechado encerra.
Preciso de pessoal de TI para o operar?
Apenas se alojar você mesmo. A opção alojada elimina o encargo operacional; o alojamento próprio existe para as equipas que querem controlo total.
Está pronto para auditoria de origem?
Produz a estrutura e o registo de auditoria que um auditor espera. As decisões substantivas continua a ser você a tomá-las e a documentá-las.
O código aberto é mais arriscado para dados de conformidade sensíveis?
Código aberto não significa dados abertos. Os dados ficam onde os aloja; com alojamento na UE ou alojamento próprio podem permanecer totalmente sob o seu controlo.