问企业软件在内部网络上运行的主要安全问题是什么？

EN

数据分类将在很大程度上推动需求。企业将采用数据分类系统，以帮助确定哪些系统需要哪些保护。我们可以假设你的问题适用于敏感数据。即便如此，根据数据的来源和分类，也适用不同的需求。

有时，外界的力量支配着需求。例如，由于我们所使用的数据类型，我们每年都会受到外部方的审计。它们要求，除其他外，我们要通过Nessus和AppDetectivePro的扫描。因此，为了确保我们通过，我们在范围内针对系统运行这些工具。

“在您签下支票之前”是企业确保他们拥有进行所需测试的权限的时间。例如，合同可能要求供应商提供一个测试环境来运行侵入性应用程序安全扫描。采购过程可能要求在购买产品之前允许进行这些扫描。

供应商可以被要求提供他们遵守标准的证据。例如，联邦政府的供应商必须满足FedRAMP的要求。云供应商是根据SOC 2的要求来判断的。

安全性指的是机密性、完整性和可用性，这就是您将要测试的内容。这取决于企业将使用软件做什么。基于风险的方法是我推荐的方法，因为无论您使用它做什么，其好处必须大于软件所带来的风险。因此，如果您正在购买一个企业软件，它将包含PII，保密性必须是无可指责的，这就是您将要测试的。