Recientemente, un proveedor de Walmart expuso inadvertidamente los datos de más de 1.3 millones de personas en línea. Estos son algunos consejos para evitar esa situación en su empresa.

    3 factores a la hora de elegir los proveedores de tecnología adecuadosA medida que más funciones se externalizan, la gestión de proveedores se ha convertido en un componente crítico de la gestión de un gran departamento de TI. Aquí está la sabiduría convencional para hacerlo bien.

    En febrero, los investigadores de seguridad informaron que el vendedor de joyas Limogés de Walmart expuso datos confidenciales, como nombres, direcciones, códigos postales, números de teléfono, direcciones de correo electrónico y contraseñas de más de 1,3 millones de clientes. Peor aún, los datos también contenían numerosos registros de otros minoristas como Amazon, Overstock, Sears, Kmart, Target y otros.

    Más información sobre ciberseguridad

    La exposición involucró una base de datos almacenada en un cubo de nubes Amazon S3 de acceso público que se dejó accesible después del 13 de enero de este año. Además, también se expusieron las listas de correo internas, la información de pago, los códigos promocionales, la información de pedidos y los datos cifrados de las tarjetas de crédito. Algunos de los registros se remontan al año 2000.

    Desde entonces, la base de datos ha sido protegida por Walmart, pero no hay garantía de que los datos que contenía no hayan sido robados y utilizados. El director de comunicaciones de Kromtech, la compañía cuyos investigadores descubrieron la brecha, escribió:

    Este número hace hincapié en un concepto clave cuando se trata de la seguridad de los datos. No importa cuán completas, detalladas o exitosas puedan ser sus propias prácticas de seguridad, una vez que entregue los datos a un afiliado de terceros, sus controles perderán su sentido. Esto literalmente pone la reputación y el éxito de su empresa en manos de otra persona.

    VER: Cómo elegir y gestionar grandes socios tecnológicos (característica especial de ZDNet) | Descargar en formato PDF (ConsejoTecnologico.com)

    Cómo reducir el riesgo de terceros

    La reducción del riesgo de terceros depende de una adecuada selección de proveedores. Investigue a todos los posibles proveedores para asegurarse de que comparten los mismos valores que su organización en lo que respecta a la privacidad de los datos y la gestión de riesgos.

    Tim Erlin, vicepresidente de gestión de productos y estrategia de la empresa de ciberseguridad Tripwire, considera que la protección de los datos de los clientes contra la exposición no requiere las últimas herramientas de seguridad. «Asegurar que los sistemas sean seguros cuando se despliegan y monitorearlos en busca de cambios es parte de hacer lo básico bien», dijo. «Esos principios de seguridad se aplican tanto a la nube como al centro de datos.»

    Reconoció, sin embargo, que los controles técnicos son difíciles de imponer a terceros y destacó la importancia de los acuerdos contractuales. «Es de vital importancia que los proveedores y terceros que manejen datos confidenciales no sólo acepten protegerlos, sino que también puedan demostrar que lo están haciendo», dijo.

    Erlin recomienda acuerdos contractuales que no sólo especifiquen la protección de datos, sino también una norma para medir ese esfuerzo. Hay muchos estándares de seguridad disponibles en el mercado para elegir, como los del Centro de Seguridad de Internet o el estándar NIST 800-53.

    Siempre que sea posible, los acuerdos contractuales también deben incluir la indemnización de su organización en caso de que el proveedor sufra un incumplimiento.

    Las normas son un factor clave para garantizar el cumplimiento. Si su organización se rige por las normas PCI, HIPAA, SOX u otras normas, éstas también deben aplicarse y supervisarse entre los proveedores y terceros con los que comparte datos.

    VER: Kit de contratación: Director de proveedores de TI (Tech Pro Research)

    También vale la pena analizar la obtención de informes de auditoría de control de la organización del servicio (SOC) para garantizar el cumplimiento por parte de los proveedores. Están disponibles en lo que se denomina SOC1 y SOC2. Un informe SOC1 es la opción más básica y analiza y registra los controles internos sobre los informes financieros. El informe SOC2, más completo, contendrá detalles sobre la seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad de una organización. Los informes SOC2 pueden ayudar a asegurar que los proveedores externos cumplan con las reglas.

    Existen dos tipos de informes SOC: Tipo 1 y Tipo 2. El tipo 1 es un informe de un solo vistazo que muestra el estado de los controles de la organización a partir de una fecha específica. Un informe de Tipo 2 cubre un período de tiempo (como un año o menos) para establecer cómo han funcionado los controles durante ese período. Un informe de Tipo 2 es la mejor manera de asegurar que los controles están funcionando como se espera.

    Si decide empezar a solicitar informes SOC, asegúrese de que cubren todas las áreas en las que un proveedor externo podría almacenar o procesar datos, ya sea interna o externamente a sus instalaciones. Los centros de datos locales deben proporcionar información sobre el informe de los controles físicos y ambientales, así como sobre las configuraciones relacionadas con la seguridad.

    Si no está dispuesto o no puede obtener los informes de SOC, todavía es posible que realice sus propias auditorías periódicas a terceros proveedores. Además, asegúrese de que la documentación de su empresa describa qué datos se almacenan y dónde y comparta la mínima cantidad de datos que necesitan los proveedores externos para alinearse con su negocio (el escenario ideal sería conservar los datos en sus sistemas y permitirles el acceso a ellos, en lugar de entregarlos si puede evitarlo. Una fuerte comunicación continua con el proveedor o proveedores es también un factor clave para mantenerse al día con sus prácticas y operaciones, para evitar una mentalidad de «configurarlo y olvidarlo» que puede conducir a la negligencia.

    VER: Una estrategia ganadora para la ciberseguridad (Informe especial de ZDNet) | Descargar el informe en formato PDF (ConsejoTecnologico.com)

    Por último, pero no por ello menos importante, hablo por experiencia cuando afirmo que, en la medida de lo posible, una reunión física cara a cara y una visita al centro de datos o a la sala de servidores con un proveedor externo pueden hacer maravillas en el establecimiento de la confianza y la fiabilidad. Construye relaciones personales y puede ayudar a verificar que las especificaciones de seguridad estén a la altura de los estándares de su empresa.

    Boletín informativo de consejotecnologico.com

    Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves

    Inscríbase hoy

    :