lunes, 17 de abril de 2017

No soy yo, sos vos: La ciberseguridad y nuestras relaciones de negocio


Hemos hecho muy bien todos los deberes sobre la ciberseguridad. Todos los sistemas y las aplicaciones de la empresa están al día en materia de parches y fixes de seguridad informática. Nuestra red tiene varias capas de defensa contra ataques maliciosos y el universo organizacional está atento a cualquier intento de intrusión por parte de los chicos malos.

Ahh, tarea cumplida.

¿Seguro?

En el mundo tecnológico de hoy, no estamos solos. Nuestros sistemas están interconectados unos con otros. Sobre todo, cuando de empresas se trata. Alianzas de negocios, joint ventures y otras formas asociativas hacen que permitamos a terceros ingresar a nuestros equipos, aplicaciones y datos.

Y allí aparece un gran problema.

Es mas que probable que nuestro socio de negocios, proveedor o subcontratista acceda a nuestro mundo informático con sus propios equipos, los cuales corren sus propios sistemas operativos y aplicaciones. Sobre los cuales no tenemos control, es decir, no conocemos cual es su estado en cuanto a la seguridad informática. Entonces, lo que es un acceso perfectamente válido se termina convirtiendo en la peor de las pesadillas.

¿Y como lo evitamos?

Si bien no existe la seguridad perfecta, no es menos cierto que tomando ciertas medidas reduciremos ampliamente la posibilidad de ser hackeados por cibercriminales. Entre otras podemos mencionar:
  • Analizar si es realmente necesario otorgar un acceso a nuestros sistemas.
  • De ser asi, entonces permitir el ingreso solamente a las aplicaciones y subsistemas necesarios para el desarrollo del negocio. No otorgar accesos generales.
  • Establecer políticas y procesos para el ingreso de terceras partes.
  • Establecer que la empresa se reservará el derecho de revisar cualquier dispositivo a ser utilizado para el ingreso a sus sistemas.
  • Educar tanto al personal propio como ajeno para evitar las brechas de seguridad producto de ataques de ingeniería social.
  • Establecer un proceso de comunicación entre ambas organizaciones, a efectos de conocer cuanto antes si la otra parte ha sufrido un ataque informático asi como de cualquier modificación en la plantilla de quienes están autorizados a ingresar a nuestras aplicaciones.
  • Cerrar todos los accesos a sistemas y aplicaciones al finalizar la relación de negocios.
Entonces, lo importante no es cerrarse y caer en un estado de paranoia. Estudie, evalúe opciones. Consulte a los que saben. Diseñe medidas, expréselas y delas a conocer. Y sobre todo, póngalas en práctica. Porque sino, cualquier disposición que haya previsto para evitar un daño por parte de un partner o proveedor no valdrá ni el papel en la que está escrita. Y le terminará saliendo muy caro.



Fuentes:
http://www.muycanal.com/2017/04/11/negocio-proveedores-ciberseguridad

http://procadox.com/suppliers-cyber-security/

martes, 11 de abril de 2017

Lo que hay que saber (también) para ir a la nube



Finalmente, tomamos la decisión. Nos vamos a la “nube”. No, no significa que vamos a soñar despiertos o a dejar vagar nuestra mente. Significa que, en tanto organización, vamos a comenzar a utilizar - o a migrar hacia – los servicios y recursos de la tecnología de la información compartidos fundamentalmente a través de Internet.

(Porque en definitiva, eso es el “algo-as-a-service” o el cloud: acceder a un servicio o recurso que nos provee un tercero. Nada muy distinto a los modelos de servicios de computación basados en mainframe o cliente-servidor del pasado. ¿La diferencia? Internet los hizo globales, económicos y escalables).

Por supuesto, como buenos y prudentes hombres de negocios que somos, hemos hecho nuestros deberes. Hemos analizado alternativas, comparado las distintas features que nos ofrecía cada proveedor y los costos asociados, de manera de optar por aquella que encaje en el presupuesto disponible. También examinamos en detalle las características técnicas de cada solución, para elegir la que mejor se adapte a nuestras necesidades.

Ahh, tarea cumplida.

¿Seguro?

Como ese cartel que encontramos en muchos comercios, ¿no nos habremos olvidado de algo? Si, nos olvidamos de algo. Contratar un servicio implica bastante mas que saber que poder de computación voy a tener, cuantos gigas de almacenamiento tendré disponibles y que tan rápido podrá el proveedor atender mis necesidades de expansión.

Entonces, ir a la nube también supone hacerse otras preguntas. Preguntas que tienen que ver con lo mas valioso que le vamos a entregar a nuestro proveedor: nuestra información. Antes de tomar cualquier decisión deberíamos saber también:
  • Donde estarán ubicados físicamente nuestros datos.
  • Cuales son las leyes que se aplican en esa ubicación sobre la transmisión, almacenamiento y el procesamiento de datos.
  • Cuales son las medidas de seguridad informáticas y físicas que se aplican sobre la información.
  • Que niveles de privacidad se aplican sobre los datos.
  • Cual es el tiempo estándar en que podremos recuperar la información (toda o parte de ella).
  • Cuales son las políticas de resguardo y de disaster recovery del proveedor.
  • Cual es la política de retención de datos luego de la finalización del contrato (por cualquier causa).
  • Si vamos a poder recolectar evidencia forense desde el servicio contratado.
  • Si el proveedor ofrece asistencia técnica durante un incidente de seguridad.

Preguntemos. No supongamos. Tener disponible la mayor cantidad de información posible sobre las características del servicio y del futuro proveedor nos evitará – o al menos las hará menos problemáticas y costosas – desagradables consecuencias.