Medidas de seguridad que las compañías de software deben implementar
Hoy en día, los medios de comunicación hablan continuamente sobre las violaciones de datos personales, hackeos empresariales y otros actos digitales ilícitos, difíciles de detectar e identificar por parte de las empresas y los consumidores. Es probable que, cuando se realicen estas acciones, las responsabilidades recaigan sobre sus proveedores de servicios de seguridad. Si bien existen muchas empresas dedicadas a la ciberseguridad, no todas ellas cuentan con la protección y las herramientas para resistir los embates constantes de este tipo de delitos.
Mientras se revisan y aplican nuevas leyes sobre la privacidad en el mundo – como la Regulación General de Protección de Datos de la Unión Europea (GDPR, por sus siglas en inglés), la Ley de Privacidad del Consumidor de California (CCPA), la Ley de Cuidado de Datos del Senado de los Estados Unidos o casos más específicos como la Ley General de Ciberseguridad en México-, los sectores empresariales deben de apostar por mejorar sus herramientas digitales, perfeccionar sus modelos de ciberseguridad y contratar empresas que puedan ofrecer estrategias efectivas y adaptables para su negocio.
Como director estratégico de una empresa de software en la nube, les comparto Cinco medidas de seguridad y privacidad que las compañías de software deberían de estar implementando en este momento, para abordar las demandas urgentes de sus clientes sobre estos aspectos.
- Desplegar sus propios hackers
Muchas empresas cuentan con equipos internos de ciberseguridad. En software, un proveedor típico suele emplear dos equipos -rojo y azul- que realizan pruebas de intervención regulares y crean soluciones de seguridad, respectivamente. Estos equipos tienen mucha independencia y son apartados de las cadenas de mando de la empresa para asegurar su autonomía y autoridad. Esos equipos suelen ser necesarios para proteger los datos de los clientes, pero las empresas no deben depender únicamente de los equipos internos para garantizar la privacidad y la seguridad de los clientes.
Un paso adicional importante para las empresas es contratar a un ‘hacker’ aliado para descubrir las debilidades. Las empresas de software también pueden realizar concursos privados o públicos de «recompensa por errores» en los que se premia a los hackers por detectar vulnerabilidades, y así reciben información sobre la solidez de la seguridad de sus datos.
- Construir confianza con certificados de cumplimiento
Así como el sector financiero o sanitario tienen requisitos de cumplimiento en sus normas para ofrecer un servicio de calidad; las empresas de software también los necesitan. La certificación básica ISO-27001es la que representa el estándar de seguridad de la información. Ésta demuestra que su empresa sigue las mejores prácticas de seguridad y realiza evaluaciones periódicas para determinar que los datos están protegidos adecuadamente. Si su compañía ofrece servicios en la nube, considere la posibilidad de obtener un certificado de cumplimiento SOC 2 Tipo II. Estas medidas requieren que las empresas establezcan y sigan políticas y procedimientos de seguridad estrictos con respecto a los datos de los clientes.
- Limitar los datos de los clientes en pruebas de producto
Muchas empresas de software ofrecen pruebas limitadas de sus productos con la intención de convertir a esos usuarios de prueba en clientes de pago. Para cubrir estas pruebas, algunas compañías solicitan más información a los clientes de la que realmente necesitan. De esta manera, las empresas que no convierten a los usuarios de prueba en clientes regulares pueden seguir ganando dinero al vender sus datos. Esta mala práctica debe terminar. Solicitar un nombre y una dirección de correo electrónico debería ser suficiente para que el usuario descargue y utilice el producto durante su período de prueba. Si obtiene los resultados que busca, seguramente el nuevo cliente se registrará y proporcionará la información necesaria para descargar la suite completa. Obtenga fidelidad del cliente por el uso orgánico de sus productos y no por el beneficio económico que éste le pueda traer gracias a sus datos personales.
- Almacenar los datos del cliente sólo durante el tiempo que sea necesario
En la misma línea, muchas empresas cometen el error de almacenar datos innecesarios que han recolectado de clientes potenciales que no se inscriben en últimas instancias o de clientes que no han utilizado su producto o servicio durante un período prolongado. Algunas empresas guardan los datos por razones de marketing y ventas para el corto plazo. Sin embargo, la gran mayoría los almacena a largo plazo, con lo cual crean mayores riesgos de seguridad tanto para el negocio como para sus clientes. Tan sólo piense como si usted fuera el consumidor: ¿cómo reaccionaría si sus propios datos personales se vieran comprometidos por una “prueba gratuita” a la cual se inscribió hace años? Existen en el mercado compañías que no almacenan los datos de sus usuarios sin importar si la versión que utiliza es gratuita o pagada.
- Evitar usar a la tecnología con fines lucrativos para terceros
La Inteligencia Artificial y otras herramientas digitales empresariales, aplicadas exclusivamente a recopilar y estudiar la información de los clientes o nuevos prospectos, pueden ayudar a mejorar la experiencia que se ofrece y a administrar de mejor manera las áreas comerciales o de negocio. Sin embargo, muchas empresas sólo utilizan la tecnología para la recopilación, envío y venta de datos de usuarios a terceros. Esto representa un gran riesgo para todos, desde el usuario, la empresa y de quién adquiere esta información. A lo largo de los años hemos visto ejemplos como el robo masivo de información sensible de los usuarios hasta demandas millonarias contra empresas que ofrecen estos servicios. Las prácticas de seguridad y privacidad deben de ser proactivas y públicas con el fin de ofrecer protección y beneficios para nuestros clientes y nuestros negocios.
Las empresas tecnológicas con visión al futuro comenzarán a distinguirse desde sus áreas de privacidad y seguridad, al convertir sus buenas prácticas en una ventaja competitiva. Las prácticas leales de seguridad y uso adecuado de la información de los clientes no sólo deben ser impulsadas por altos ejecutivos o por áreas legales, sino que deben convertirse en las responsabilidades diarias de todos los empleados que laboran dentro del mercado tecnológico. Sea parte del cambio que se avecina.