AI Responsibly with ndMAX
Hoy en día, las empresas deben tener redes que sean simultáneamente seguras y porosas para involucrar a los socios comerciales e integrar los servicios en las organizaciones de los clientes.
La pregunta es, ¿cómo pueden los líderes tecnológicos asegurar el flujo de información sin restringir el trabajo y cuáles son los controles necesarios para amortiguar las amenazas que son inevitables en el mundo conectado de hoy?
El primer paso para crear algunos controles es comprender el origen de las amenazas. La investigación sobre cómo ocurren las fallas de seguridad muestra que la fuente abrumadora de los problemas son los humanos. El acceso se convierte entonces en un tema clave en la creación de protocolos de seguridad para permitir solo el acceso a fuentes verificadas.
A survey by ALM determined the top three threats for cybersecurity are:
Sabiendo esto, la base de los controles de seguridad tendrá que ver con quién puede acceder al sistema y cómo puede obtener permiso para realizar acciones.
El cifrado es una medida de seguridad que se utiliza con frecuencia y está creciendo en importancia y complejidad. Por lo general, cuando piensa en el cifrado, se refiere al bloqueo de una clave en un conjunto particular de datos.
Ahora, para obtener la máxima seguridad, es importante tener varios niveles de cifrado con diferentes puntos de acceso. Más claves significan más protección y menos vulnerabilidad para la información en su sistema.
El enfoque del cifrado va más allá de un modelo único para todos. Esta forma de pensar de múltiples niveles también debería llevarlo a profundizar en la comprensión de la importancia que los socios y proveedores le dan al cifrado con sus propios datos.
Dado que los seres humanos presentan el mayor potencial de problemas, no es suficiente crear fuertes medidas de seguridad desde su departamento de tecnología. Debe educar a su equipo sobre las mejores prácticas.
Un 2017 informe de Verizon encontró que el 81% de las infracciones relacionadas con la piratería empleadas se debieron a contraseñas robadas y reutilizadas. Al implementar las siguientes pautas, puede evitar errores humanos evitables:
Hardware security module: Encryption is great, but only works if there is no access to the keys. A hardware security module is basically a vault - a combination of both software and hardware - that stores your keys in a safe way. The HSM minimizes the ability for individuals to access those keys who shouldn't be touching them but still allows the keys to be available to when they need to be used for encrypting services.
Virus, malware, ransomware protection: Part of best practices is ensuring all systems are up-to-date with the latest protections for potential threats. NetDocuments provides these updates complimentary to all of their customers through their compliance-as-a-service model.
Multi-level user authentication: Make sure your users have to verify who they are when accessing the system. This helps ensure the right people access the right data and prevents easy access for hackers.
Regular testing: Security is a process, not a destination. Part of your best practices will be ongoing testing and evaluation for threats. Don’t work through a one-time audit and sit back and relax. Build in testing to your ongoing process. Otherwise, you will be waiting for problems and only reacting after something has gone wrong.
Separation of duties: Another best practice is making sure there is accountability at every level. Don’t ever let one person have access without another person who is able to see what’s been going on. Separating duties means you keep people in check and have visibility on each person who accesses information.
Una forma sencilla de pensar en los controles de seguridad es utilizar estándares para guiar sus esfuerzos.
There are broadly applicable industry standards, provided by ISO that can be used to ensure a minimum level of control has been established. These standards give a general level of confidence, knowing you’ve been through a specified checklist.
Other examples of certifications are provided by the US government, like the FedRamp audit. These audits are not all-encompassing or guaranteeing you are free from a threat. However, they provide a helpful guideline that you can be confident in the practices of your team and point out vulnerabilities along the way.
Por ejemplo, NetDocuments se somete a auditorías de tipo 2 SOC 2 anuales de seguridad y disponibilidad y auditorías de certificación ISO 27001 anuales. El alcance de la certificación ISO 27001 incluye todos los centros de datos utilizados por NetDocuments. La auditoría de SOC incluye proveedores de servicios clave contratados por NetDocuments.
Además de estas auditorías anuales, NetDocuments revisa activamente los requisitos de seguridad de la industria aplicables, así como las regulaciones de seguridad locales, estatales y nacionales para determinar los esfuerzos de cumplimiento apropiados. NetDocuments modifica y amplía regularmente sus controles de seguridad para mantener los niveles más altos de seguridad para los datos de los clientes en todo el mundo mediante el cumplimiento de las normas y regulaciones adecuadas.
Cuando usa NetDocuments como su DMS, hereda estos niveles de seguridad, sabiendo que está cumpliendo con las regulaciones importantes.
La seguridad es un proceso continuo y debe ser proactivo en lugar de reactivo. Como empresa, no puede permitirse que los datos se vean comprometidos, por lo que los controles de seguridad son imperativos.
Para comenzar, revise esta publicación y luego someta a su empresa a algunas de las auditorías estandarizadas para asegurarse de que está al nivel de referencia. Esto debería darle una idea de dónde se encuentra.
Una vez que haya aprobado las certificaciones, implemente las pautas de mejores prácticas que se enumeran en esta publicación para orientar a su equipo y brindar confianza en la seguridad.
To go deeper into these strategies, check out this webinar on Information Security in an Insecure World.
