Las organizaciones viven y mueren en función de sus protocolos de seguridad de datos, y con un coste medio de 3,86 millones de dólares, las consecuencias de unas prácticas de seguridad deficientes pueden ser catastróficas.
Pero las empresas no sólo deben tener en cuenta las consecuencias económicas. Los daños a la reputación pueden tener el mismo impacto, si no más. ¿Cuál es la solución? En primer lugar, un cambio de enfoque que garantice que la seguridad de los datos sustenta todos los procesos digitales. Esto es especialmente importante cuando se colabora con un proveedor de software empresarial de autoservicio digital de cobros.
El software empresarial de cualquier tipo puede transformar una organización, ayudándola a ser más productiva, más precisa y más valiosa para los clientes. Sin embargo, cuando se implanta un nuevo software empresarial, hay una pregunta importante que debe estar en boca de su organización: ¿es seguro?
Así que vamos a explorar 7 preguntas sobre la seguridad de los datos que debe hacer a todos los posibles proveedores de software empresarial, en particular a los proveedores de software de autoservicio digital de cobros.
¿Por qué es tan importante la seguridad de los datos?
Ninguna empresa u organización es demasiado grande para sufrir una violación de datos. De hecho, el 68% de los líderes empresariales considera con preocupación que sus riesgos de ciberseguridad están aumentando.
El Parlamento Europeo fue objeto de una filtración de datos en mayo de 2020, y el Banco Central Europeo corrió la misma suerte en agosto de 2019. Unos años antes, en 2016, unos 39 millones de europeos se vieron afectados por la filtración masiva de datos de Yahoo.
Ni que decir tiene que este tipo de filtraciones pueden dañar irreparablemente a su organización. Para empezar, está el coste de la propia filtración (se calcula que los registros personales robados cuestan unos 150 dólares cada uno). Además, las empresas tienen que hacer frente al consiguiente daño a su reputación. Los estudios muestran que las empresas pueden perder alrededor de la mitad de sus clientes como resultado de una violación de seguridad. Si los datos robados son especialmente sensibles, es probable que esta cifra aumente.
Entonces, ¿dónde entra en juego el software empresarial? Bueno, su organización probablemente tenga sus propios protocolos de seguridad internos. No son en absoluto infalibles, pero al menos tú los controlas. Sin embargo, cuando se introduce el software empresarial en la mezcla, de repente tienes que confiar tus preciosos datos a otro proveedor que tiene sus propias prácticas de seguridad (y riesgos).
Como afirma McKinsey, "las aplicaciones que se ejecutan en la nube y los datos que se almacenan en ella no están protegidos por un perímetro de seguridad corporativo tradicional de cortafuegos y similares. En consecuencia, la seguridad pasa a depender esencialmente del cifrado y de la gestión de las claves que dan acceso a los datos cifrados."
Las organizaciones deben examinar a fondo las prácticas de seguridad de un proveedor de software empresarial antes de implantar la herramienta en su propia organización. Esto es fundamental para asegurarse de que corren el menor riesgo posible en el futuro.
7 preguntas sobre la seguridad de los datos que hay que hacer a los proveedores de software empresarial
1. ¿Cómo es su protocolo de seguridad de datos?
Esta es quizás la pregunta más obvia. Los protocolos de seguridad de datos, definidos como "las normas de software y comportamiento que guían a los empleados en el manejo y acceso a los datos", proporcionan directrices claras que demuestran el enfoque de una organización en cuanto a la seguridad de los datos. Esto puede incluir cosas como certificados SSL, redes privadas virtuales (VPN), autenticación multifactor (MFA), etc.
Según Audacix, "es posible que los controles de seguridad publicados públicamente no ofrezcan datos concretos sobre la eficacia de las políticas de seguridad, pero representan un nivel de madurez". Hay que asegurarse de que la seguridad de las aplicaciones es una consideración integrada y no una mera idea de última hora. Hay que confirmar que la seguridad de los datos guía cada cosa que hacen.
Si un proveedor no puede explicar en detalle sus protocolos de seguridad, probablemente demuestra que la seguridad de los datos no es una preocupación muy importante para él.
2. ¿Ha conseguido alguna norma reconocida de protección de datos?
Hay una variedad de normas de protección de datos que rigen la forma en que las organizaciones abordan la seguridad de los datos: ISO 27001, SSAE16 y Safe Harbor, entre otras. Es posible que su organización se adhiera a alguna de ellas, pero es aún más importante comprobar si sus proveedores también están protegidos según dichas normas.
¿Por qué son tan importantes? Principalmente, porque proporcionan a las empresas un plan claro para salvaguardar sus datos en el futuro. La ISO 27701, una norma internacional relativamente reciente en materia de privacidad de datos, es especialmente digna de mención. Se diseñó teniendo en cuenta el principio del GDPR de privacidad desde el diseño y por defecto, por lo que cumple plenamente las normas y expectativas modernas de protección de datos.
3. ¿Cómo evalúa los conocimientos de sus empleados en materia de seguridad?
Se estima que el 90% de todas las violaciones de datos en el Reino Unido en 2019 fueron causadas por un error humano. Aunque esta cifra probablemente no sea válida a nivel mundial, algunas de las violaciones de datos más perjudiciales de los últimos tiempos se han debido a un simple error humano.
Este mismo año, la oficina de protección de datos de Hamburgo anunció que llevaría a cabo una investigación exhaustiva sobre H&M. Se informó de que los directivos del establecimiento de Nuremberg guardaban datos personales "detallados y sistemáticos" (que rozaban el espionaje) en un disco duro. Y lo que es peor, estos datos se compartieron con otros empleados que no deberían haber tenido acceso a dicha información.
Los empleados son personas, por lo que cometen errores. Sin embargo, hay que asegurarse de que si se producen errores humanos dentro de la organización de su proveedor de software, estos errores son:
A) Con la menor frecuencia posible y de menor importancia.
B) Resultado de un accidente, más que de pura ignorancia.
En un mundo ideal, el proveedor propuesto le explicará que lleva a cabo una formación periódica en materia de protección de datos. Tendrá un responsable de la protección de datos y los empleados serán sometidos a una prueba activa de sus conocimientos. Mejor aún, puede formar parte del proceso de incorporación de todos los nuevos empleados. Algunos proveedores también entregan material impreso para futuras consultas, aunque esto no es tan común.
4. ¿Se separan los datos de los clientes de la infraestructura principal?
Si la infraestructura principal de su proveedor es pirateada, usted querrá saber que sus datos están seguros, idealmente en un entorno basado en la nube. Puede ser de un solo inquilino o de varios, siendo la opción de un solo inquilino la más segura. Sin embargo, lo más importante es asegurarse de que, aunque Empresa sea objeto de una filtración de datos, usted no se verá afectado.
Y si se mantienen separados, vale la pena también indagar sobre sus controles de acceso internos. El Informe de Riesgos 2019 de Varonis descubrió que en el 53% de las empresas encuestadas, cada empleado podía acceder a más de 1.000 documentos sensibles. En total, un empleado medio podría acceder a la enorme cantidad de 17 millones de registros.
La computación en nube puede ser muy segura, siempre que se establezcan los controles de acceso adecuados y que los datos de los clientes se mantengan separados de la infraestructura principal.
5. ¿Trabaja con otros terceros para ofrecer su solución SaaS? Si es así (y si tienen acceso a sus datos), ¿cómo son sus protocolos de seguridad?
Es posible que el propio proveedor sea increíblemente seguro. Dicho esto, importa menos si tienen múltiples socios que son bastante más laxos en sus propios protocolos. Se sorprendería de lo común que es que los proveedores de SaaS dependan de terceros. De hecho, las investigaciones sugieren que hasta el 60% de los proveedores de SaaS utilizan a terceros como su principal método de aplicación de entrega.
Esto no es en sí mismo necesariamente un motivo de preocupación. Si se entera de que el proveedor propuesto trabaja con una serie de terceros, pregunte por sus políticas y normas de protección de datos.
Si no pueden proporcionar ningún detalle, la información parece vaga o la respuesta parece ser deficiente, entonces debería optar por no comprar la solución de ese proveedor en particular.
6. ¿Cuáles son sus planes de recuperación en caso de catástrofe?
Un proveedor puede tener unos protocolos internos magníficos, dar mucha importancia a la formación de sus empleados y contar con socios muy concienciados con la seguridad. Sin embargo, si no dispone de medidas de recuperación en caso de desastre, puede que todo esto no sirva para nada.
Por muy estricta que sea su seguridad, siempre existe la posibilidad de que sus proveedores sufran una brecha. En este caso, deben tener un plan sólido como una roca. Esto no solo ayudará a proteger tus datos, sino que también significará que podrán volver a funcionar lo antes posible.
Por supuesto, no hay un enfoque único para la planificación de la recuperación de desastres. Dependiendo de la propia infraestructura de TI del proveedor, pueden tener planes de recuperación de desastres georredundantes, basados en la nube, de virtualización o de red.
Al confirmar que cuentan con un plan para cuando se produzca un desastre, sabrá que incluso la más inesperada de las infracciones se gestionará con rapidez y sin problemas.
7. ¿Realiza pruebas rutinarias de recuperación de desastres?
Ni que decir tiene que un plan es tan bueno como su ejecución. Está muy bien tener un plan, pero hay que estar seguro de que, llegado el momento, se puede poner en práctica. Puede que su proveedor tenga un plan fantástico. Sin embargo, si su equipo se afana por recordar sus funciones y responsabilidades, el plan servirá de poco.
Las pruebas rutinarias demuestran que la seguridad es una prioridad absoluta. Se aseguran de que todo el mundo sepa lo que se espera de ellos cuando llegue el momento. En definitiva, se aseguran de que el plan se lleve a cabo de la forma más fluida e indolora posible.
Planificar es humano; probar, divino.
Defienda sus datos a toda costa
Los datos son la savia de su organización, por lo que deben protegerse a toda costa. Puede utilizar 5 recursos gratuitos sobre seguridad de la información y cumplimiento normativo para identificar posibles áreas de mejora dentro de su propia organización. Recuerde: nunca adquiera una solución de software empresarial -más concretamente, un software de gestión de cobros- sin antes plantearse las 7 preguntas mencionadas anteriormente.
Los mejores proveedores disfrutarán de la oportunidad de responder a estas preguntas, mostrando sus elevados estándares de seguridad de datos en el proceso. Pero, ¿qué ocurre con los que dudan o se niegan en redondo a responder? Si esto ocurre, puede ser prudente buscar otros proveedores para evitar poner en peligro sus datos. Y recuerde: en primer lugar, no se trata realmente de sus datos. Se trata de información financiera confidencial de tus clientes. No destruya la confianza que con tanto esfuerzo han depositado en usted.
Para saber más sobre lo que piensa nuestro CTO sobre el cumplimiento, la privacidad y la seguridad de los datos, consulte esta página.