Hoy en día, las empresas deben tener redes que sean simultáneamente seguras y porosas para involucrar a los socios comerciales e integrar los servicios en las organizaciones de los clientes.
La pregunta es, ¿cómo pueden los líderes tecnológicos asegurar el flujo de información sin restringir el trabajo y cuáles son los controles necesarios para amortiguar las amenazas que son inevitables en el mundo conectado de hoy?
El primer paso para crear algunos controles es comprender el origen de las amenazas. La investigación sobre cómo ocurren las fallas de seguridad muestra que la fuente abrumadora de los problemas son los humanos. El acceso se convierte entonces en un tema clave en la creación de protocolos de seguridad para permitir solo el acceso a fuentes verificadas.
A encuesta de ALM determinó que las tres principales amenazas para la ciberseguridad son:
Sabiendo esto, la base de los controles de seguridad tendrá que ver con quién puede acceder al sistema y cómo puede obtener permiso para realizar acciones.
El cifrado es una medida de seguridad que se utiliza con frecuencia y está creciendo en importancia y complejidad. Por lo general, cuando piensa en el cifrado, se refiere al bloqueo de una clave en un conjunto particular de datos.
Ahora, para obtener la máxima seguridad, es importante tener varios niveles de cifrado con diferentes puntos de acceso. Más claves significan más protección y menos vulnerabilidad para la información en su sistema.
El enfoque del cifrado va más allá de un modelo único para todos. Esta forma de pensar de múltiples niveles también debería llevarlo a profundizar en la comprensión de la importancia que los socios y proveedores le dan al cifrado con sus propios datos.
Dado que los seres humanos presentan el mayor potencial de problemas, no es suficiente crear fuertes medidas de seguridad desde su departamento de tecnología. Debe educar a su equipo sobre las mejores prácticas.
Un 2017 informe de Verizon encontró que el 81% de las infracciones relacionadas con la piratería empleadas se debieron a contraseñas robadas y reutilizadas. Al implementar las siguientes pautas, puede evitar errores humanos evitables:
Módulo de seguridad de hardware: El cifrado es excelente, pero solo funciona si no hay acceso a las claves. Un módulo de seguridad de hardware es básicamente una bóveda, una combinación de software y hardware, que almacena sus claves de forma segura. El HSM minimiza la capacidad de las personas para acceder a esas claves que no deberían tocarlas, pero aún permite que las claves estén disponibles cuando sea necesario utilizarlas para servicios de cifrado.
Protección contra virus, malware y ransomware: Parte de las mejores prácticas es garantizar que todos los sistemas estén actualizados con las últimas protecciones para posibles amenazas. NetDocuments proporciona estas actualizaciones de forma gratuita a todos sus clientes a través de su modelo de cumplimiento como servicio.
Autenticación de usuario multinivel: Asegúrese de que sus usuarios tengan que verificar quiénes son al acceder al sistema. Esto ayuda a garantizar que las personas adecuadas accedan a los datos correctos y evita que los piratas informáticos accedan fácilmente.
Pruebas periódicas: La seguridad es un proceso, no un destino. Parte de sus mejores prácticas serán pruebas y evaluaciones continuas de amenazas. No trabaje en una auditoría única y siéntese y relájese. Incorpore pruebas a su proceso continuo. De lo contrario, estará esperando problemas y solo reaccionará después de que algo haya salido mal.
Separación de tareas: Otra buena práctica es asegurarse de que exista responsabilidad en todos los niveles. Nunca permita que una persona tenga acceso sin otra persona que pueda ver lo que está sucediendo. Separar las tareas significa mantener a las personas bajo control y tener visibilidad de cada persona que accede a la información.
Una forma sencilla de pensar en los controles de seguridad es utilizar estándares para guiar sus esfuerzos.
There are broadly applicable industry standards, provided by ISO that can be used to ensure a minimum level of control has been established. These standards give a general level of confidence, knowing you’ve been through a specified checklist.
El gobierno de EE. UU. Proporciona otros ejemplos de certificaciones, como Auditoría de FedRamp. Estas auditorías no abarcan todo ni garantizan que esté libre de una amenaza. Sin embargo, brindan una guía útil en la que puede confiar en las prácticas de su equipo y señalar las vulnerabilidades en el camino.
Por ejemplo, NetDocuments se somete a auditorías de tipo 2 SOC 2 anuales de seguridad y disponibilidad y auditorías de certificación ISO 27001 anuales. El alcance de la certificación ISO 27001 incluye todos los centros de datos utilizados por NetDocuments. La auditoría de SOC incluye proveedores de servicios clave contratados por NetDocuments.
Además de estas auditorías anuales, NetDocuments revisa activamente los requisitos de seguridad de la industria aplicables, así como las regulaciones de seguridad locales, estatales y nacionales para determinar los esfuerzos de cumplimiento apropiados. NetDocuments modifica y amplía regularmente sus controles de seguridad para mantener los niveles más altos de seguridad para los datos de los clientes en todo el mundo mediante el cumplimiento de las normas y regulaciones adecuadas.
Cuando usa NetDocuments como su DMS, hereda estos niveles de seguridad, sabiendo que está cumpliendo con las regulaciones importantes.
La seguridad es un proceso continuo y debe ser proactivo en lugar de reactivo. Como empresa, no puede permitirse que los datos se vean comprometidos, por lo que los controles de seguridad son imperativos.
Para comenzar, revise esta publicación y luego someta a su empresa a algunas de las auditorías estandarizadas para asegurarse de que está al nivel de referencia. Esto debería darle una idea de dónde se encuentra.
Una vez que haya aprobado las certificaciones, implemente las pautas de mejores prácticas que se enumeran en esta publicación para orientar a su equipo y brindar confianza en la seguridad.
Para profundizar en estas estrategias, Consulte este seminario web sobre seguridad de la información en un mundo inseguro.