No importa el tamaño de su empresa o la industria en la que opere, sus datos están en riesgo constante. Los piratas informáticos violaron la asombrosa cantidad de 37 000 millones de registros de usuarios en 2020, un aumento del 141 % con respecto a 2019. La violación de datos típica le cuesta a una empresa $3,86 millones, y los costos aumentan a $4 millones para las empresas con fuerza de trabajo remota.
Algunas infracciones obligan a las empresas a pagar un rescate a los piratas informáticos. El fabricante de dispositivos de fitness Garmin pagó 10 millones de dólares a piratas informáticos de ransomware que cerraron el software de la empresa durante casi una semana en 2020. Las empresas también pagan multas por no cumplir con las normas de protección de datos. En 2018, British Airways pagó 231 millones de dólares en multas por incumplimiento de las normas del Reglamento General de Protección de Datos (RGPD).
Más allá de los pagos de rescates y multas, las infracciones provocan daños a la reputación que generan desconfianza en los clientes y la pérdida de oportunidades comerciales. Súmelo todo y está claro que las brechas de seguridad cibernética son nada menos que una pesadilla para cualquier empresa que opere en el espacio digital.
Minimice el riesgo examinando cuidadosamente a los socios de servicio
Las empresas que intentan minimizar el riesgo no solo deben preocuparse por sus prácticas de ciberseguridad, sino también por las de sus socios. Por ejemplo, cuando su empresa confía información confidencial de clientes a proveedores de almacenamiento en la nube o comparte registros con socios que ayudan a administrar su fuerza laboral, debe comprender cómo estos socios protegen sus datos. Trabajar con socios que no protegen adecuadamente la información crítica de los empleados o clientes significa arriesgar su reputación, viabilidad financiera y capacidad para hacer negocios como de costumbre.
La buena noticia es que las empresas se toman la protección de datos más en serio que nunca. Algunas empresas crean sus propias políticas, procedimientos y sistemas de seguridad. Otros cumplen con los estándares de terceros reconocidos.
Si bien tener una certificación externa puede parecer que ofrece un mayor nivel de protección, las empresas deben tomarse un tiempo para comprender exactamente qué implican los estándares específicos de terceros. Siga leyendo para conocer tres formas comunes en que las empresas verifican sus prácticas de seguridad:
- Unirse a la Alianza de Seguridad en la Nube
- Lograr el cumplimiento de SOC 2
- Conseguir la certificación ISO 27001
Alianza de seguridad en la nube
Cloud Security Alliance (CSA) es una red global de organizaciones SaaS, proveedores de seguridad y empresas que utilizan la nube.
Si bien las empresas deben someterse a auditorías rigurosas para lograr el cumplimiento de SOC 2 o ISO 27001, convertirse en miembro de CSA es una tarea menos ardua. Las empresas se unen a la CSA pagando cuotas de membresía y cumpliendo con los requisitos básicos de seguridad de datos. A cambio, reciben beneficios que incluyen asesoramiento general sobre seguridad cibernética, liderazgo intelectual de líderes de la industria y acceso a eventos de networking.
La CSA ofrece varios programas de certificación que van más allá de la membresía básica. El más popular es el Registro de seguridad, confianza y garantía (STAR) . Esta certificación consta de dos niveles:
- Nivel 1 : diseñado para empresas que operan en un entorno de bajo riesgo y desean una certificación rentable, este nivel requiere que las empresas se sometan a una autoevaluación basada en el Código de Conducta de GDPR.
- Nivel 2: las empresas que operan en un entorno de riesgo medio a alto buscan este nivel de certificación, que requiere una auditoría de terceros. Las empresas deben tener una certificación ISO 27001 o SOC 2 antes de obtener la certificación STAR Nivel 2.
- Las empresas que cumplen con STAR también pueden obtener la certificación CSA Trusted Cloud Provider. Para ser elegible para esta certificación, las empresas deben pasar por programas de capacitación y cumplir con los requisitos de voluntariado de CSA.
Los expertos en ciberseguridad y TI reconocen que la membresía de CSA es un buen paso inicial para que las empresas mejoren las prácticas de protección de datos. Sin embargo, debido a que los requisitos de membresía dependen de las certificaciones (si las hay) que logra una empresa, la CSA no es una solución de protección de datos única para todos. Consulte con sus socios para saber con precisión cómo su participación en CSA fortalece la seguridad de sus datos.
Controles de Sistemas y Organizaciones 2 (SOC 2)
SOC 2 establece una serie de requisitos de cumplimiento para las empresas que almacenan datos en la nube. SOC 2 es ampliamente considerado como el estándar norteamericano para la protección de datos.
El Instituto Estadounidense de Contadores Públicos Certificados (AICPA) introdujo el SOC 2 en 2010 para estandarizar la forma en que las empresas protegen la información confidencial. Las empresas cumplen con SOC 2 al pasar por una auditoría de terceros. Estas empresas eligen entre cinco “Principios de Confianza” que quieren atestiguar o demostrar que cumplen. Los cinco principios incluyen:
- Seguridad : requiere que las empresas cuenten con medidas de protección como firewalls, requisitos de autenticación y sistemas que detecten intrusiones.
- Confidencialidad: Garantiza que las empresas tengan sistemas sólidos para proteger los datos confidenciales.
- Disponibilidad : valida que los sistemas digitales siempre puedan ser utilizados por los clientes, incluso cuando se producen brechas de seguridad.
- Integridad del procesamiento: confirma que las empresas recopilan correcta y completamente sus datos durante las auditorías.
- Privacidad: requiere que las empresas procesen los datos según los Principios de privacidad generalmente aceptados de AICPA .
Al examinar a un socio que se ha sometido a una auditoría SOC 2, preste atención a si el socio ha pasado por una auditoría SOC 2 Tipo 1 o Tipo 2 . Las auditorías de tipo 1 evalúan los protocolos de seguridad de una empresa en un momento específico, mientras que las auditorías de tipo 2 revisan la seguridad de una empresa durante un período de seis o doce meses. Las auditorías SOC 2 Tipo 2 son más exhaustivas, aunque la actualidad de la auditoría también es relevante. Las prácticas de seguridad de la empresa pueden volverse más estrictas o más relajadas a medida que pasa el tiempo, así que tómese el tiempo para comprender las prácticas de seguridad más actuales de su socio.
Los estándares SOC 2 son rigurosos, independientemente de si una empresa pasa por una auditoría de Tipo 1 o Tipo 2. Si bien es esencial saber a qué tipo de auditoría se sometió su socio, qué tan reciente fue la auditoría y qué principios certificaron, en general puede estar seguro de que una empresa que cumple con SOC 2 cumple con los estándares de seguridad de datos más estrictos de América del Norte.
ISO 27001
Mientras que SOC 2 se considera el punto de referencia de América del Norte para la protección de datos, ISO 27001 se reconoce como el estándar de seguridad líder en todo el mundo.
La ISO 27001 es una especificación publicada por la Organización Internacional de Normalización (ISO). La ISO establece puntos de referencia globales para una variedad de procedimientos, que incluyen todo, desde la prestación de servicios hasta el suministro de materiales . ISO 27001 establece requisitos sobre cómo las empresas establecen, implementan, mantienen y mejoran continuamente su sistema de gestión de seguridad de la información (SGSI).
Cumplir con la norma ISO 27001 requiere que las empresas se tomen el tiempo para definir, organizar y unificar sus procesos y procedimientos de protección de datos. Asegurar un enfoque cohesivo es especialmente ventajoso para las organizaciones que se mueven rápidamente. Las empresas que crecen rápidamente a menudo introducen prácticas de protección sobre la marcha, lo que da como resultado sistemas de seguridad fragmentados que no brindan la máxima seguridad. Al lograr la especificación ISO 27001, las empresas demuestran que adoptan un enfoque holístico de la seguridad, lo que brinda a sus socios la tranquilidad de saber que van más allá para proteger su información confidencial.
El estándar ISO 27001 también requiere que las empresas monitoreen y mejoren continuamente su SGSI. Considere, por ejemplo, Velocity Global, que posee una certificación ISO 27001 . Velocity Global se somete a auditorías internas trimestrales y aprobaciones anuales. El monitoreo constante garantiza que el SGSI de Velocity Global proteja a los socios contra las amenazas cibernéticas más recientes y peligrosas. Además, Velocity Global no solo corrige incidentes sino que aprende de ellos, aumentando su capacidad de predecir riesgos futuros. Al mejorar regularmente su SGSI, Velocity Global garantiza que su certificación ISO 27001 no sea un procedimiento de una sola vez, sino un sistema vivo que respira.
¿Qué estándar de seguridad de datos debe esperar que mantengan sus socios?
No existe una mejor opción universalmente aceptada para un estándar de seguridad de datos de terceros. La elección del socio adecuado depende de sus necesidades y de la seriedad con la que se tome la protección de los datos.
Si trabaja con un socio de CSA, tómese el tiempo para comprender exactamente lo que implica su participación en CSA. Si bien la membresía básica brinda a la empresa recursos útiles para mejorar las prácticas de seguridad, los requisitos de membresía varían. Depende de usted comprender exactamente cómo esa empresa utiliza su afiliación a CSA para fortalecer la protección de datos.
Tanto la atestación SOC 2 como la certificación ISO 27001, por otro lado, son reconocidas casi unánimemente como los abanderados de la protección de datos. Elegir entre socios que cumplan con SOC 2 e ISO 27001 se reduce a una pregunta importante: ¿dónde hace negocios? SOC 2 está dirigido a empresas de América del Norte, mientras que ISO 27001 cumple con los estándares globales.
Proteja sus datos con confianza en todo el mundo con Velocity Global
Como proveedor de expansión internacional líder en el mundo, Velocity Global se compromete a proteger los datos de los socios. Nuestra certificación ISO 27001 es un testimonio de ese compromiso. Al cumplir con los estándares ISO 27001, Velocity Global brinda a sus socios la confianza de que sus datos, y los de su fuerza laboral remota global, están protegidos con los más altos niveles de atención, sin importar dónde hagan negocios. Para saber cómo Velocity Global protege la información confidencial de los socios en más de 185 países, comuníquese con nuestros expertos hoy .