En el contexto de un cibercrimen que representa una amenaza constante y creciente para las organizaciones, Dale Drew, jefe de Seguridad de Level 3, recomienda una serie de preguntas clave a los proveedores de servicios de Internet (ISP) para comprender cómo resguardan la infraestructura y los datos.
En primer lugar, las empresas deben preguntar cómo protege el acceso a la gestión de su infraestructura crítica, ya que es imprescindible que los proveedores separen sus sistemas de producción y datos de clientes de sus entornos de escritorio y centros de datos de los empleados. Luego, cuántos grupos de seguridad diferentes tiene el proveedor para proteger sus sistemas, y si todos usan el mismo enfoque: muchas organizaciones mantienen múltiples funciones de seguridad internamente que puede causar conflictos de recursos.
También se debe conocer si el proveedor utiliza los mismos servicios que vende para proteger sus propios sistemas, y cómo protege su red de ataques como los DDoS. Drew explica que las compañías necesitan sentirse cómodas con la forma en que su proveedor puede proteger su infraestructura de red de estas amenazas.
En este sentido, las empresas pueden averiguar si sus proveedores toman medidas activas para identificar el tráfico ‘malo’ en la red, y qué acciones utiliza, si las hay, para notificar a las víctimas del ataque.
Otros dos importantes interrogantes son los referidos a la encriptación de las comunicaciones del Datacenter que incluyen datos del cliente, y al acceso remoto a los datos de los clientes para empleados y proveedores.
‘Asegúrese de que sus datos estén encriptados dentro y entre los Datacenters de su ISP. Y conozca si se ofrece una gama de capacidades de cifrado que mejor se adapte a sus necesidades’, afirma el ejecutivo.
Finalmente, indica que una firma tiene que saber si el proveedor se somete a auditorías regulares y mantiene certificaciones reconocidas por la industria, como ISO 27001, SSAE16 o ISAE 3402.
‘A proveedores de ISP con los mejores intereses no les importará ser transparentes sobre sus prácticas de seguridad para ayudar a asegurarse de que ha encontrado al aliado adecuado para sus necesidades de negocio’, concluye Drew.