No importa qué parte de su presencia digital esté en la nube, debe asegurarse de que su proveedor de servicios tenga las mejores medidas de seguridad para proteger su infraestructura
Si está migrando a la nube, debe examinar minuciosamente los protocolos de seguridad del proveedor que elija para estar seguro del panorama actual de amenazas cibernéticas.
Según el Instituto Nacional de Estándares y Tecnología (NIST), la computación en la nube es, «Un modelo para permitir el acceso a la red omnipresente, conveniente y bajo demanda a un grupo compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones, y servicios) que pueden aprovisionarse y liberarse rápidamente con un mínimo esfuerzo de gestión o interacción del proveedor de servicios «.
Si bien esta conectividad posee varios recursos que hacen que la computación en la nube sea tan conveniente, también es lo que hace que dichos sistemas sean potencialmente vulnerables a los ataques.
Por lo tanto, el proveedor de la nube debe considerar el problema de la seguridad como uno de los componentes más críticos de sus operaciones generales.
Preguntas sobre seguridad cibernética para su proveedor de servicios en la nube
Suponiendo que el proveedor del servicio ha verificado todos los demás cuadros para sus necesidades de computación en la nube, aquí hay algunas preguntas importantes de seguridad que debe realizar para completar su proceso de investigación.
¿Qué tipos de centros de datos usa? ¿Cuántos?
El tipo de centro de datos (Nivel 1, 2, 3, 4) determinará el acuerdo de nivel de servicio (SLA) que puede proporcionar.
Los centros de datos de nivel 4 son los más seguros y requieren equipos tolerantes a fallas, incluidos servidores, almacenamiento, enlaces ascendentes, calefacción, enfriadores y más.
La garantía de disponibilidad para el Nivel 4 es 99.995 por ciento de tiempo de actividad, seguido por 99.982 por ciento de tiempo de actividad para el Nivel 3, 99.749 por ciento de tiempo de actividad para el Nivel 2 y 99.671 por ciento de tiempo de actividad para el Nivel 1.
Además de los tipos, averigüe cuántos centros de datos utiliza la empresa. Cuantas más redundancias tenga, mayores serán sus posibilidades de garantizar la seguridad de sus datos y una recuperación rápida.
¿Qué certificaciones tiene actualmente para sus centros de datos?
Es posible que su empresa deba cumplir con la Ley de portabilidad y responsabilidad del seguro médico (HIPAA), Ley Sarbanes-Oxley (SOX), Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) u otras reglamentaciones.
Asegúrese de que el proveedor de servicios que elija tenga certificaciones de cumplimiento en las áreas críticas para su negocio.
Pida ver certificaciones y auditorías de cumplimiento.
¿Qué tan confiable es su infraestructura de red?
Además de la seguridad, debe preguntar acerca de la confiabilidad de la conectividad entre usted y la red del proveedor.
¿Cuál es su disponibilidad, el rendimiento del tráfico (como el ancho de banda), latencia y pérdida de paquetes? Conocer las respuestas a estas preguntas le permitirá saber qué tan rápido puede acceder a los recursos que necesita cuando los necesita.
¿Cuál es su plan de recuperación de desastres?
Su proveedor de servicios debe tener un plan de recuperación de desastres diseñado para minimizar el tiempo de inactividad de sus operaciones.
Asegúrese de preguntar cuál es el plan. Esto también le permitirá saber dónde almacena la empresa sus datos en caso de una brecha o un desastre mayor.
¿Tiene políticas formales de seguridad de la información escrita?
Si un proveedor de servicios ha formalizado las políticas de seguridad, debe poder presentar una versión escrita de esas políticas para su inspección.
Una política bien redactada respaldada por SLA de calidad es un buen indicador de la madurez del programa de seguridad.
¿Qué sucede si el negocio se pliega o se fusiona con otra empresa?
Solicite un plan por escrito sobre la solvencia de la empresa, ya sea que cierre o forme parte de una fusión y adquisición.
Esto incluye tablas de tiempo para transferir todos sus datos.
Mientras que en el tema de la transferencia de datos, también debe preguntar acerca de la política para cambiar a otro proveedor.
¿Cómo está tu seguridad física?
Un centro de datos es tan bueno como su seguridad física.
Si alguien puede acceder fácilmente al centro, significa que los servidores pueden verse comprometidos.
Pregunte sobre el tipo de seguridad física existente en los centros de datos que utiliza su proveedor de servicios.
Esa seguridad debe estar en su lugar los 365 días del año.
¿Cómo descartar el hardware al final de su vida útil y los dispositivos de almacenamiento de datos fallidos?
Esta es una pregunta que podría pasarse por alto, pero recuerde que usted es responsable de los datos que le dieron sus clientes.
El proceso de eliminación debe ser exhaustivo y absoluto.
Esto significa que no hay posibilidad de que alguien use los productos descartados para recuperar los datos dentro de ellos.
Algunas de las otras preguntas que puede hacer aquí pueden incluir:
- ¿Cuáles son sus políticas de encriptación?
- ¿Qué tan aislados están mis datos?
- ¿Cómo se monitorean y documentan las actividades de la cuenta?
- ¿Puedo visitar el centro de datos?
- ¿Los contratistas externos deben cumplir con las políticas y los acuerdos con los clientes?
Por supuesto, estas no son las únicas preguntas que puede hacer, por lo que debe ser lo más completo que necesite para garantizar la seguridad de sus datos.
Es su reputación en la línea
Según la cantidad de operaciones que haya migrado a la nube, el proveedor de servicios tendrá los activos operativos clave de su organización.
Si por alguna razón el proveedor no proporciona el servicio como lo prometió, su reputación está en juego.
Así que no dude en hacer cualquier pregunta que pueda comprometer lo que ha trabajado tan duro para construir.