La clasificación de datos impulsará en gran medida los requisitos. Una empresa adoptará un sistema de clasificación de datos para ayudar a identificar qué sistemas necesitan qué protecciones. Podemos asumir que su pregunta se aplica a datos confidenciales. Incluso entonces, se aplican diferentes requisitos según la fuente de esos datos y la clasificación.
A veces, fuerzas externas dictan los requisitos. Por ejemplo, debido al tipo de datos con los que trabajamos, un tercero externo nos audita. Requieren, entre otras cosas, que pasemos las exploraciones de Nessus y AppDetectivePro. Entonces, para asegurarnos de que aprobamos, ejecutamos esas herramientas contra los sistemas en alcance.
"Antes de firmar el cheque" es el momento en que una empresa se aseguraría de tener el permiso para realizar las pruebas requeridas. Por ejemplo, el contrato puede requerir que el proveedor proporcione un entorno de prueba para ejecutar análisis de seguridad de aplicaciones invasivas. El proceso de adquisición puede requerir que se permitan estos análisis antes de que se compre el producto.
A los proveedores se les puede pedir una prueba de que han cumplido con los estándares. Por ejemplo, los proveedores del gobierno federal deben cumplir con los requisitos de FedRAMP. Los proveedores de servicios en la nube son evaluados según los requisitos de SOC 2.