Elegir un proveedor que satisfaga sus necesidades de ciberseguridad no es una tarea fácil.
Estas son algunas preguntas que debería considerar hacerles a los proveedores actuales o potenciales de ciberseguridad
No es exhaustivo, pero le da un buen comienzo.
¿Tiene su empresa una política de evaluación previa al empleo para empleados y contratistas? ¿Cuál es ese proceso? ¿Cuál es su proceso para capacitarlos en las mejores prácticas de seguridad?
¿Tiene su empresa un plan de controles por escrito que contiene las medidas de seguridad administrativas, técnicas y físicas que utiliza para recopilar, procesar, proteger, almacenar, transmitir, disponer o manejar de otro modo nuestros datos (p. ej., un plan de seguridad de la información)?
¿El sistema o la aplicación que almacenará los datos de nuestra empresa proporciona mecanismos de control de acceso (por ejemplo, identificaciones de usuario únicas, estándares de contraseñas, acceso basado en funciones)?
¿Cómo me ayudarán a cumplir con todas las leyes de privacidad y seguridad aplicables para mi empresa?
¿Qué certificaciones tiene su empresa y puede proporcionar documentación?
¿El sistema o la aplicación proporciona controles multiusuario para la separación de usuarios y datos dentro del servicio?
¿Utiliza su empresa métodos de encriptación para los datos en tránsito y en reposo cuando es técnicamente posible y está legalmente permitido?
¿Se revisan, conservan y purgan los archivos y registros de acuerdo con los requisitos legales, las obligaciones contractuales y los acuerdos de nivel de servicio?
¿Cuál es su proceso para depurar todos los archivos y registros y eliminar los accesos al finalizar el servicio, la tarea o el contrato?
¿Cuál es su compromiso de tiempo de respuesta si tengo una pregunta o una emergencia? ¿Tiene horas libres?
¿Cuál es la mejor manera de comunicarme con ustedes?
¿Tiene su empresa planes escritos de continuidad del negocio/recuperación ante desastres, que se prueban periódicamente?
¿Se asegura su empresa de que se toman las medidas adecuadas para protegerse contra el acceso no autorizado a los datos de nuestra empresa (p. ej., cortafuegos)? Enumere la tecnología y los procesos que están implementados.
¿Su empresa mantiene versiones actualizadas de software antivirus, antimalware, antispyware y parches de seguridad de los sistemas operativos? Por favor elabora.
¿Qué hará activamente su empresa para prevenir incidentes o infracciones de seguridad, y con qué frecuencia planea verificar las vulnerabilidades?
¿Tiene su empresa un plan por escrito para identificar, informar y responder rápidamente a las infracciones de seguridad relacionadas con los datos de nuestra empresa (p. ej., un plan de respuesta a incidentes)?
¿Nuestra empresa conservaría la propiedad de sus datos en todo momento?
¿Su empresa contrata una firma de auditoría externa para realizar una revisión de cumplimiento de sus controles operativos?
¿Los proveedores externos (p. ej., subcontratistas, hosting compartido administrado) utilizados por su empresa tendrán restringido el acceso al sistema o a los datos de la aplicación de nuestra empresa?
¿Proporciona su empresa garantías (en forma de un informe escrito) de la seguridad y los controles suyos y de su proveedor externo mientras se recopilan, procesan y conservan los datos de los clientes?
¿Puede su empresa y cualquier proveedor de servicios externo relevante con el que tenga contrato su empresa enviar los resultados de su última auditoría de seguridad?
¿Qué servicios específicos están incluidos en mi tarifa de servicio mensual? ¿Qué servicios tendrán un cargo adicional?
Contáctamos+(33) 35 87 59 13 y 14
Sobre SCtelecom
SCtelecom es una empresa de tecnologías de información (TI) con más de 20 años de experiencia, abordando proyectos y soluciones específicas para cada uno de sus clientes
Ciberseguridad | Fortinet | Servicios Fortinet | Proveedor Fortinet | Mexico
Fuente: National Cibersecurity Alliance, 15 de julio de 2022, https://acortar.link/sYm0Oj
Comments