Si se asocia con un tercero que tiene un enfoque laxo hacia la ciberseguridad, pone en riesgo los datos de su empresa y de sus clientes. Aquí hay algunas preguntas que debe hacerle a cada proveedor para asegurarse de que su seguridad sea lo suficientemente sólida como para merecer su negocio. Siempre participe en un Acuerdo de Nivel de Servicio y contrato con el proveedor para que todas las expectativas se articulen claramente.

¿Cómo protegerá mis datos?

Los datos de su empresa, empleados y clientes son valiosos y deben ser tratados como dinero en efectivo. Obtenga detalles específicos sobre cómo un proveedor protege y almacena los datos: 

• ¿Nuestra empresa siempre retendrá la propiedad de sus datos? 

• ¿Tiene el proveedor un plan de controles por escrito que contenga las salvaguardias administrativas, técnicas y físicas que utiliza para recopilar, procesar, proteger, almacenar, transmitir, disponer u otro manejo de nuestros datos (generalmente llamado Política de Seguridad de la Información)? 

• ¿Se utilizan métodos de cifrado para los datos en tránsito y los datos en reposo? 

• ¿Proporcionará el proveedor controles de múltiples inquilinos para la separación de usuarios y datos? 

• ¿Proporcionará el proveedor mecanismos de control de acceso como ID de usuario únicos, estándares de contraseñas y acceso basado en roles?  

• ¿Se restringirá a los proveedores externos (por ejemplo, subcontratistas, alojamiento compartido gestionado) contratados por el proveedor de tener acceso a los datos de mi empresa?  

• ¿Proporcionará el proveedor una garantía por escrito de su seguridad y controles, así como los de sus proveedores externos, mientras se recopilan, procesan y retienen los datos del cliente? 

• ¿Cuál es el proceso del proveedor para purgar archivos y registros y eliminar el acceso una vez completado el servicio, la tarea o el contrato? 

¿Están sus empleados capacitados en ciberseguridad?

Pregunte si el proveedor tiene una política de selección previa al empleo para empleados y contratistas. ¿Cuál es ese proceso? ¿Cuál es el proceso para capacitar al personal en seguridad? 

¿Qué certificaciones tiene?

Busque proveedores que tengan certificaciones de seguridad estándar de la industria como ISO 27001, SOC 2 o PCI DSS. Estas certificaciones demuestran un compromiso de mantener altos estándares de seguridad. Solicite documentación.  

¿Con qué frecuencia actualiza su software?

Mantener el software actualizado es una de las mejores maneras de tener una seguridad de vanguardia. Específicamente, pregunte si el proveedor mantiene versiones actualizadas de su software antivirus y sistemas operativos. ¿Cómo asegura el proveedor que todos sus sistemas se mantengan actualizados? ¿Con qué frecuencia se escanean los sistemas para buscar software y parches desactualizados? Sepa que diferentes sistemas tienen diferentes cadencias de actualización de software y que las actualizaciones generalmente se prueban antes de ser implementadas. Debe buscar respuestas sobre el tiempo: un proveedor podría aplicar actualizaciones críticas dentro de las 48 horas, mientras que programar actualizaciones de “alta gravedad” para aplicarlas dentro de cinco días hábiles. 

¿Cómo asegura su infraestructura de red?

Asegúrese de que su proveedor tenga medidas de seguridad de red sólidas en su lugar. Pregunte sobre firewalls, sistemas de detección de intrusos y otras tecnologías que utilizan para proteger sus redes de amenazas cibernéticas. ¿Qué hace el proveedor para prevenir incidentes de seguridad o brechas? ¿Con qué frecuencia verifica vulnerabilidades? 

¿Tiene un plan de continuidad del negocio?

Pregunte sobre sus planes de continuidad del negocio y recuperación ante desastres. Esto le ayudará a comprender cuán bien preparados están para responder a eventos imprevistos y minimizar el tiempo de inactividad. ¿Está el plan escrito? ¿Se prueba periódicamente? 

¿Cuál es su plan de respuesta a incidentes?

Prevenir un incidente está muy bien, pero averigüe cómo planea reaccionar un proveedor ante un incidente. ¿Tiene la empresa un plan de respuesta a incidentes, un plan por escrito para identificar, informar y responder rápidamente a las brechas de seguridad? ¿Puede el proveedor, y cualquier tercero relevante con el que contrate el proveedor, enviar los resultados de su última auditoría de seguridad? ¿El proveedor contrata a una firma de auditoría externa para realizar una revisión de cumplimiento de sus controles operativos? 

¿Cómo me ayudará a cumplir con las regulaciones de protección de datos relevantes?

Pregunte si sus proveedores cumplen con las regulaciones de protección de datos aplicables a su industria y ubicación. Esto es de suma importancia si su empresa maneja información sensible de clientes. ¿Se revisan, retienen y purgan los archivos y registros de acuerdo con los requisitos legales, obligaciones contractuales y acuerdos de nivel de servicio? 

¿Cómo puedo contactarlos? 

Pregunte cómo contactar con el proveedor en caso de una emergencia, como un incidente de seguridad. ¡Recuerde, estos pueden ocurrir los fines de semana y días festivos! 

Como propietario de un negocio, asegurar datos sensibles y proteger sus operaciones de amenazas cibernéticas debe ser una prioridad principal. Al hacerle estas preguntas cruciales de seguridad a sus proveedores, puede tener confianza en que está manteniendo un entorno seguro para su negocio. Es importante destacar que la ciberseguridad es un esfuerzo continuo y trabajar con proveedores que la priorizan ayudará a proteger su negocio y la confianza de sus clientes a largo plazo. 

Recursos Adicionales

FTC: Conceptos Básicos de Seguridad del Proveedor

Descargar PDF de la Lista de Verificación