¿Cómo evaluar la seguridad del SaaS?

8 octubre 2019

Usando dos candados…

En los procesos de aprovisionamiento vemos todo tipo de cosas en relación con la seguridad:

Largas listas de preguntas creadas por departamentos de TI que a menudo no son expertos en seguridad del cloud computing
Cuestionarios anticuados con 300 preguntas de terceros
Una solicitud puntual para realizar pruebas de penetración
Ninguna referencia en absoluto a la seguridad

Se constata una creciente aceptación de que las soluciones de los proveedores deben ser seguras. Pero no hay consenso sobre cómo evaluarlo.

Tenemos la certificación ISO 27001. Pero alguien podría argumentar que la ISO 27001 no es suficiente. Como todas las acreditaciones ISO, esta norma da fe de que los procesos existen. Pero no garantiza la seguridad de la información, al igual que la 9001 no garantiza que los productos sean de alta calidad.

Y, por supuesto, son las personas, no la tecnología en sí misma, las que violan la seguridad. Por esta razón, hemos empezado a averiguar los antecedentes de los empleados, de acuerdo con las recomendaciones pertinentes:

Tal vez sería mejor un conjunto de preguntas más simple para determinar la probabilidad de si la seguridad es alta, media o baja:

Aporte pruebas que demuestren hasta qué punto se toma en serio la seguridad en relación con las instalaciones, las personas, los procesos y la tecnología (hardware y software, de principio a fin).
¿Con qué frecuencia realiza evaluaciones independientes de la seguridad de su empresa?
Explíquenos las conclusiones de esas evaluaciones, y cómo las ha abordado.
¿Cuántas violaciones de seguridad ha sufrido su empresa en los últimos 3 años?

Y esto debe separarse de las cuestiones relativas a la continuidad del servicio y la resiliencia, que a veces se mezclan con la seguridad.

Es un tema que precisaría de una mayor reflexión, discusión y colaboración entre las partes interesadas.

wall-steel-metal-lock

¿Cómo evaluar la seguridad del SaaS?

Search

Recent Posts