Primul lucru: nu intra în panică
Două săptămâni e suficient pentru un răspuns onest, profesional și acceptabil. Nu suficient pentru a construi de la zero ce nu există. Strategia nu e să mimezi maturitate pe care n-o ai – clienții buni descoperă asta la primul audit. Strategia e să fii onest despre starea actuală, cu plan clar de îmbunătățire pentru ce lipsește.
Răspunsul “facem X parțial, planificăm să formalizăm până în [data]” e mult mai bine primit decât “facem X complet” mincinos.
Cum arată un chestionar real
50 de întrebări, distribuite pe 6 secțiuni. Fiecare întrebare cere unul din trei tipuri de răspuns
- Da/Nu: aveți MFA? Aveți politică de backup?
- Descriere: cum gestionați conturile angajaților care pleacă?
- Dovadă: trimiteți politica de backup în atașament
Multe firme răspund la primele două tipuri și se blochează la al treilea. Pentru că dovada cere documentație care nu există în formă scrisă.
Ziua 1-2: Triajul
Nu începe să răspunzi la întrebări încă. Citește chestionarul complet, două ori, fără să răspunzi. Apoi clasifică fiecare întrebare în 3 categorii.
Verde (40-60% din întrebări): ai răspuns solid și dovadă disponibilă. Politica există, procesul există, poți atașa documentul.
Galben (25-40%): ai practica dar lipsește documentația formală. Faci backup dar nu există politică scrisă. Ai MFA pe email dar nu pe toate sistemele. Procesul de offboarding există în mintea HR-ului, dar nu pe hârtie.
Roșu (10-25%): nu ai nici practica, nici documentația. De obicei zone ca: plan de continuitate, evaluare furnizori, raportare formală a incidentelor.
Triajul ăsta îți spune unde poți răspunde solid (verde), unde poți construi în 7-10 zile (galben), și unde trebuie răspuns onest cu plan (roșu).
Ziua 3-7: Construiește documentația galbenă
Aici e munca cea mai mare. Pentru fiecare zonă galbenă, ai nevoie să transformi practica existentă în document.
Politica de backup pe o pagină
[NUMELE FIRMEI] – Politica de Backup
Versiunea 1.0, aprobată de [Director] pe [data]
La ce se face backup
– Bazele de date ERP, CRM, alte aplicații critice
– Share-urile de fișiere ale companiei
– Email-urile (prin Microsoft 365 / Google Workspace)
– Configurații de sistem ale serverelor critice
Frecvență
– Bazele de date: zilnic (incremental), săptămânal (complet)
– Fișiere: zilnic
– Configurații: la fiecare modificare majoră, minim trimestrial
Locație backup
– Copie principală: [locație]
– Copie izolată: [locație – cu specificarea că nu e accesibilă din rețeaua de producție]
Testare
– Restaurare reală a unei baze de date trimestrial
– Documentarea timpului de restaurare și a problemelor identificate
Responsabil
– [Nume]: execuție și monitorizare
– [Nume]: verificare lunară
Raportare
– Status backup raportat lunar către [persoana de management responsabilă]
O pagină. 30-45 de minute să o scrii. Aprobă-o, datează-o, semnează-o. Acum ai politică de backup formală.
Aplici același pattern pentru
- Politica de gestionare a accesului (cum se acordă, cum se închide la plecare, cine aprobă)
- Politica de utilizare AI (vezi articolul de săptămâna viitoare)
- Procedura de răspuns la incidente (chiar și pe 2 pagini, cu telefoane și roluri)
- Politica de utilizare a echipamentelor (telefoane, laptopuri, USB-uri)
- Politica de parole și MFA
Niciuna nu necesită mai mult de 1-2 ore de muncă. În total, 4-5 zile distribuite pe membri ai echipei (IT, HR, director) acoperă majoritatea zonelor galbene.
Ziua 5-10: Adună dovezile
În paralel cu construirea documentelor noi, colectează dovezile existente
- Capturi de ecran din admin panel-ul Microsoft 365 / Google Workspace – utilizatori activi, MFA activ, politici de parole
- Raportări de la antivirus / EDR – status protecție, alerte ultimele 90 de zile
- Email-uri sau minute de ședință care confirmă revizuiri trimestriale
- Loguri de backup care arată jobs-urile reușite din ultimele 3 luni
- Contracte cu furnizorii cheie (pentru secțiunea third-party)
- Lista incidentelor (chiar și minore) cu acțiunile luate
Toate într-un singur folder, organizate pe secțiunile chestionarului. Fiecare documentat să poată fi atașat ca dovadă.
Ziua 8-12: Răspunsurile efective
Acum ai materia primă. Începi să răspunzi.
Pentru întrebări verzi
Răspuns solid + dovadă atașată. “Da, avem politică de backup formală – vezi atașament 1. Frecvența și procesul sunt detaliate la secțiunea 3. Ultima testare reală: [data], cu rezultat pozitiv documentat.”
Pentru întrebări galbene (acum cu documentație nouă)
Răspuns onest + dovadă atașată + context. “Da, avem politică formalizată în [luna anterioară]. Anterior, procesul exista informal. Documentul este atașat (atașament 4). Implementarea practică e operațională din [data].”
Onestitatea în legătură cu data formalizării e importantă. Dacă politica e datată ieri și răspunzi că o ai de 2 ani, asta e fraudă contractuală. Dacă spui “am formalizat recent practica existentă”, e maturitate.
Pentru întrebări roșii
Răspuns onest + plan + termen. “Nu avem încă plan formal de continuitate operațională. Recunoaștem nevoia și am inclus dezvoltarea lui în roadmap-ul Q3 2026, cu termen de finalizare [data], conform standard ISO 22301. Vom putea împărtăși planul finalizat ca parte a relației contractuale.”
Răspunsul ăsta e mult mai puternic decât “Nu” sec, sau decât un “Da” mincinos. Demonstrează că firma cunoaște ce-i lipsește și are plan.
Ziua 11-13: Revizuirea finală
Înainte de trimitere
Verifică consistența. Răspunsurile la întrebări similare din secțiuni diferite trebuie să fie consistente. Dacă într-o secțiune zici că faci revizuire trimestrială și în alta zici că nu ai proces formal, contradicția e remarcată.
Verifică dovezile. Fiecare atașament corespunde la întrebarea unde e referit? E lizibil? Confidențial unde trebuie?
Verifică terminologia. Dacă chestionarul vorbește despre “incident response plan”, răspunsurile tale folosesc același termen. Mici discrepanțe de terminologie ridică suspiciuni.
Verifică tonul. Răspunsuri profesionale, nu defensive. Nu te plânge că întrebările sunt prea grele sau prea multe. Răspunde la ce poți, planifică ce nu poți.
Citește totul ca și cum ai fi clientul. Dacă tu ai primi chestionarul ăsta înapoi, ce ai gândi despre firmă? Mature, profesionale, controlate? Sau confuze, defensive, evazive?
Ziua 13-14: Trimite și pregătește-te pentru întrebări
Trimite cu 1-2 zile înainte de termen, ca să poți răspunde la întrebări de clarificare. Răspunde rapid la orice email de follow-up – viteza de răspuns e parte din evaluare.
Pregătește-te pentru posibili pași următori
- Audit telefonic sau video: clientul vrea să vorbească cu IT-ul tău despre câteva puncte. Pregătește persoana care va vorbi.
- Vizită la fața locului: pentru contracte mari, posibil. Pregătește accesul, persoana de contact, demo-uri ale sistemelor relevante.
- Cerere de documente suplimentare: pregătește răspunsul rapid pentru orice document standard.
Greșeli care anulează tot efortul
Răspunde IT-ul singur. Chestionarele cer decizii de management (prioritizare, planuri de îmbunătățire, alocări de buget, decizii contractuale). IT-ul singur nu poate angaja firma. Implică obligatoriu directorul și, pentru întrebări legale, avocatul.
Răspunzi “da” la tot. Riscul e mare. Răspunsurile false sunt descoperite la primul audit. Plus, dacă apare un incident bazat pe practici pe care le-ai declarat dar nu le ai, ești în zonă de fraudă contractuală.
Răspunzi prea defensiv. “Nu vedem necesitatea” sau “asta e pentru companii mai mari” – răspunsuri care semnalează imaturitate. Mai bine: “implementăm partial, planul de extindere e […]”
Nu ceri clarificări când e nevoie. Dacă o întrebare e neclară sau ambiguă, întreabă. Clienții apreciază asta.
Nu păstrezi răspunsurile. Primul chestionar e cel mai greu. Al doilea, dacă vine de la alt client, are 60-70% suprapunere. Construiește un knowledge base intern cu răspunsurile tipice și documentele aferente.
După trimitere: ce urmează
Scenariul A: răspunsul e acceptat și se trece la negocieri. Felicitări – nu e un final, e început. Documentele pe care le-ai construit acum trebuie menținute. Politica de backup datată azi va fi audită peste 12 luni – asigură-te că între timp e actualizată și aplicată.
Scenariul B: clientul cere îmbunătățiri specifice înainte să continue. “Trebuie să aveți plan de continuitate operațională implementat pentru a semna.” Acum ai un termen clar și o motivație comercială pentru a face investiția pe care ai amânat-o. Comunică termenul realist (3-4 luni de obicei) și cere clientului să înțeleagă procesul.
În ambele scenarii, beneficiul pe termen lung e mai mare decât stresul săptămânilor astea. Documentele construite acum servesc pentru următorul chestionar care vine, și pentru următorul. Iar firma devine, în timp, una dintre cele care răspund profesionist – ceea ce e diferențiator comercial.
Cât economisești cu pregătirea preventivă
Dacă ai pregătirea făcută din timp (vezi articolul de pe LinkedIn pentru ce să faci în 60-90 de zile), un chestionar de securitate devine 3-4 zile de muncă, nu 2 săptămâni de criză. Iar răspunsurile sunt mai bune, pentru că nu sunt construite sub presiune.
Pentru firmele care intră într-un ciclu de creștere comercială, primesc 5-10 chestionare pe an. Diferența între “fiecare chestionar e criză” și “fiecare chestionar e proces standard” e diferența între eficient și ineficient operațional. În 12 luni, asta e săptămâni de muncă economisite.