Independientemente de la naturaleza o el tamaño de su empresa, debe pensar en la ciberseguridad en nuestro presente conectado.
Esto no sólo se refiere a la ciberseguridad de sus propias operaciones, sino a la seguridad de todos los proveedores con los que hace negocios.
Si se asocia con un tercero que adopta un enfoque poco estricto en materia de ciberseguridad, pone en peligro los datos de su empresa y de sus clientes. He aquí algunas preguntas que debe hacer a cada proveedor para asegurarse de que su seguridad es lo suficientemente robusta como para merecer su negocio. Establezca siempre un acuerdo de nivel de servicio y un contrato con el proveedor para que todas las expectativas estén claramente articuladas.
¿Cómo protegerán mis datos?
Los datos de su empresa, empleados y clientes son preciosos y deben tratarse como dinero en efectivo. Obtenga información específica sobre cómo un proveedor protege y almacena los datos:
- ¿Mantendrá siempre nuestra empresa la propiedad de sus datos?
- ¿Dispone el proveedor de un plan de controles por escrito que contenga las salvaguardias administrativas, técnicas y físicas que utiliza para recopilar, procesar, proteger, almacenar, transmitir, eliminar o manejar de cualquier otro modo nuestros datos (normalmente denominado Política de Seguridad de la Información)?
- ¿Se utilizan métodos de cifrado para los datos en tránsito y los datos en reposo?
- ¿Proporcionará el proveedor controles multiusuario para la separación de usuarios y datos?
- ¿Proporcionará el proveedor mecanismos de control de acceso como identificadores de usuario únicos, normas de contraseña y acceso basado en funciones?
- ¿Se restringirá el acceso a los datos de mi empresa a los proveedores externos (por ejemplo, subcontratistas, alojamiento compartido gestionado) contratados por el proveedor?
- ¿Proporcionará el proveedor garantías por escrito de su seguridad y controles, y de los de terceros proveedores, mientras se recopilan, procesan y conservan los datos de los clientes?
- ¿Cuál es el proceso del proveedor para purgar archivos y registros y eliminar el acceso una vez finalizado el servicio, la tarea o el contrato?
¿Están sus empleados formados en ciberseguridad?
Pregunte si el proveedor tiene una política de selección previa a la contratación para empleados y contratistas. ¿En qué consiste ese proceso? ¿Cuál es el proceso de formación del personal en materia de seguridad?
¿Qué certificaciones tiene?
Busque proveedores que cuenten con certificaciones de seguridad estándar del sector, como ISO 27001, SOC 2 o PCI DSS. Estas certificaciones demuestran un compromiso con el mantenimiento de altos niveles de seguridad. Pida documentación.
¿Con qué frecuencia actualiza su software?
Mantener el software actualizado es una de las mejores maneras de tener una seguridad de vanguardia. En concreto, pregunte si el proveedor mantiene actualizadas las versiones de su software antivirus y de sus sistemas operativos. ¿Cómo se asegura el proveedor de que todos sus sistemas están actualizados? ¿Con qué frecuencia se analizan los sistemas en busca de software y parches obsoletos? Sepa que los distintos sistemas tienen diferentes cadencias de actualización de software, y que las actualizaciones de software suelen probarse antes de implantarse. Un proveedor puede aplicar actualizaciones críticas en 48 horas, mientras que las actualizaciones de "alta gravedad" se aplican en cinco días laborables.
¿Cómo protege su infraestructura de red?
Asegúrese de que su proveedor dispone de sólidas medidas de seguridad de red. Pregunte por los cortafuegos, los sistemas de detección de intrusos y otras tecnologías que utilizan para proteger sus redes de las ciberamenazas. ¿Qué hace el proveedor para evitar incidentes de seguridad o brechas de seguridad? ¿Con qué frecuencia comprueba la existencia de vulnerabilidades?
¿Dispone de un plan de continuidad de la actividad?
Infórmese sobre sus planes de continuidad de negocio y recuperación en caso de catástrofe. Esto le ayudará a saber hasta qué punto están preparados para responder a imprevistos y minimizar el tiempo de inactividad. ¿Está escrito el plan? ¿Se pone a prueba periódicamente?
¿Cuál es su plan de respuesta a incidentes?
Prevenir un incidente está muy bien, pero averigüe cómo planea reaccionar un proveedor ante un incidente. ¿Dispone la empresa de un plan de respuesta a incidentes, un plan escrito para identificar, notificar y responder rápidamente a las violaciones de la seguridad? ¿Puede el proveedor, y cualquier tercero relevante con el que contrate, enviar los resultados de su última auditoría de seguridad? ¿Contrata el proveedor a una empresa de auditoría externa para que lleve a cabo una revisión del cumplimiento de sus controles operativos?
¿Cómo me ayudarán a cumplir la normativa sobre protección de datos?
Averigüe si sus proveedores cumplen la normativa de protección de datos aplicable a su sector y ubicación. Esto es de vital importancia si su empresa maneja información confidencial de clientes. ¿Se revisan, conservan y eliminan los archivos y registros de acuerdo con los requisitos legales, las obligaciones contractuales y los acuerdos de nivel de servicio?
¿Cómo puedo ponerme en contacto con usted?
Pregunte cómo ponerse en contacto con el proveedor en caso de emergencia, como un incidente de seguridad. Recuerde que esto puede ocurrir los fines de semana y los días festivos.
Como propietario de una empresa, la seguridad de los datos confidenciales y la protección de sus operaciones frente a las ciberamenazas deben ser una prioridad absoluta. Al plantear a sus proveedores estas preguntas cruciales sobre seguridad, puede estar seguro de que está manteniendo un entorno seguro para su empresa. Y lo que es más importante, la ciberseguridad es un esfuerzo continuo, y trabajar con proveedores que le den prioridad le ayudará a salvaguardar su negocio y la confianza de sus clientes a largo plazo.