Ciberseguridad para Negocios
|
Lectura breve
9 Preguntas de Seguridad que los Propietarios de Negocios Deben Hacer a los Proveedores
No importa la naturaleza o el tamaño de su empresa, necesita pensar en la ciberseguridad en nuestro presente conectado. Esto no solo significa la ciberseguridad de su propia operación, sino la seguridad de cada proveedor con el que hace negocios.
Si se asocia con un tercero que adopta un enfoque laxo de la ciberseguridad, pone en riesgo los datos de su empresa y de sus clientes. Estas son algunas preguntas que debería hacerle a cada proveedor para asegurarse de que su seguridad sea lo suficientemente sólida como para merecer su negocio. Siempre celebre un acuerdo de nivel de servicio y un contrato con el proveedor para que todas las expectativas queden claramente establecidas.
¿Cómo protegerán mis datos?
Los datos de su empresa, sus empleados y sus clientes son valiosos y deben tratarse como efectivo. Obtenga detalles específicos sobre cómo un proveedor protege y almacena los datos:
¿Nuestra empresa conservará siempre la propiedad de sus datos?
¿El proveedor cuenta con un plan de controles por escrito que contenga las salvaguardas administrativas, técnicas y físicas que utiliza para recopilar, procesar, proteger, almacenar, transmitir, desechar o manejar de otro modo nuestros datos (por lo general, llamado Política de Seguridad de la Información)?
¿Se utilizan métodos de cifrado para los datos en tránsito y en reposo?
¿El proveedor proporcionará controles multicliente para la separación de usuarios y datos?
¿El proveedor proporcionará mecanismos de control de acceso como identificadores de usuario únicos, estándares de contraseñas y acceso basado en roles?
¿Se restringirá el acceso a los datos de mi empresa a los proveedores terceros (p. ej., subcontratistas, alojamiento compartido administrado) contratados por el proveedor?
¿El proveedor proporcionará una garantía por escrito sobre su seguridad y controles, y los de sus proveedores terceros, mientras se recopilan, procesan y conservan los datos de los clientes?
¿Cuál es el proceso del proveedor para depurar archivos y registros y eliminar el acceso una vez finalizado el servicio, la tarea o el contrato?
¿Sus empleados están capacitados en ciberseguridad?
Pregunte si el proveedor tiene una política de verificación previa al empleo para empleados y contratistas. ¿En qué consiste ese proceso? ¿Cuál es el proceso para capacitar al personal en seguridad?
¿Qué certificaciones tienen?
Busque proveedores que cuenten con certificaciones de seguridad estándar de la industria, como ISO 27001, SOC 2 o PCI DSS. Estas certificaciones demuestran un compromiso con mantener altos estándares de seguridad. Pida la documentación.
¿Con qué frecuencia actualizan su software?
Mantener el software actualizado es una de las mejores formas de contar con seguridad de vanguardia. En particular, pregunte si el proveedor mantiene versiones actualizadas de su software antivirus y de sus sistemas operativos. ¿Cómo garantiza el proveedor que todos sus sistemas se mantengan actualizados? ¿Con qué frecuencia se analizan los sistemas para detectar software y parches desactualizados? Tenga en cuenta que distintos sistemas tienen diferentes ritmos de actualización de software, y las actualizaciones de software normalmente se prueban antes de implementarse. Debería buscar respuestas sobre los tiempos: un proveedor podría aplicar actualizaciones críticas dentro de 48 horas, mientras programa las actualizaciones de "alta gravedad" para aplicarlas dentro de cinco días hábiles.
¿Cómo aseguran su infraestructura de red?
Asegúrese de que su proveedor cuente con medidas sólidas de seguridad de red. Pregunte sobre firewalls, sistemas de detección de intrusiones y otras tecnologías que utilizan para proteger sus redes de amenazas cibernéticas. ¿Qué hace el proveedor para prevenir incidentes de seguridad o brechas? ¿Con qué frecuencia revisa si hay vulnerabilidades?
¿Cuentan con un plan de continuidad del negocio?
Pregunte por sus planes de continuidad del negocio y recuperación ante desastres. Esto le ayudará a entender qué tan preparados están para responder a eventos imprevistos y minimizar el tiempo de inactividad. ¿El plan está documentado? ¿Se prueba periódicamente?
¿Cuál es su plan de respuesta ante incidentes?
Prevenir un incidente está muy bien, pero averigüe cómo planea reaccionar un proveedor ante un incidente. ¿La empresa cuenta con un plan de respuesta ante incidentes, un plan escrito para identificar, reportar y responder rápidamente a las brechas de seguridad? ¿Puede el proveedor, y cualquier tercero relevante con el que contrate, enviar los resultados de su última auditoría de seguridad? ¿El proveedor contrata a una firma de auditoría externa para realizar una revisión de cumplimiento de sus controles operativos?
¿Cómo me ayudarán a cumplir con las regulaciones de protección de datos aplicables?
Pregunte si sus proveedores cumplen con las regulaciones de protección de datos aplicables a su sector y ubicación. Esto es fundamental si su empresa maneja información confidencial de clientes. ¿Los archivos y registros se revisan, conservan y depuran de acuerdo con los requisitos legales, las obligaciones contractuales y los acuerdos de nivel de servicio?
¿Cómo puedo comunicarme con ustedes?
Pregunte cómo contactar al proveedor en caso de una emergencia, como un incidente de seguridad. ¡Recuerde que esto puede suceder los fines de semana y días festivos!
Como propietario de una empresa, proteger los datos confidenciales y salvaguardar sus operaciones de las amenazas cibernéticas debe ser una prioridad máxima. Al hacerles a sus proveedores estas preguntas cruciales de seguridad, puede tener la confianza de que está manteniendo un entorno seguro para su empresa. Importante: la ciberseguridad es un esfuerzo continuo, y trabajar con proveedores que la prioricen ayudará a proteger su negocio y la confianza de sus clientes a largo plazo.
