Los Vendors en general y los que se ocupan de la Seguridad Perimetral en particular, muchas veces se encuentran ante situaciones donde aparecen problemas que, en realidad, son responsabilidad de los proveedores de servicios de Internet que han contratado las empresas clientes. Puede ser difícil explicarle esta realidad al cliente, por lo que hoy analizamos una serie de recomendaciones que desarrolló Level 3 para clarificar este problema.
En un escenario digital, con ecosistemas de negocios hiperconectados, casi no existe industria, organización o lugar en el mundo que esté a salvo de un ataque.
Debido a su acceso único a información sobre el tráfico de datos, los ISP están posicionados para ayudar a cortar el mal tráfico antes de que exista la oportunidad de que dañen las redes de las empresas. Pero antes de elegir al ISP, como la primera barrera de defensa que proteja la información, Dale Drew, jefe de Seguridad de Level 3 Communications, recomienda hacer ocho preguntas cruciales a estas empresas para averiguar cómo protegen la infraestructura y los datos de quienes contratan sus servicios, de acuerdo al alcance de los mismos.
- ¿Cómo protege el acceso a la gestión de su infraestructura crítica?
Es imprescindible que los proveedores de servicios separen sus sistemas de producción y datos de clientes de sus entornos de escritorio y centros de datos de los empleados.
- ¿Cuántos grupos de seguridad diferentes tiene el proveedor para proteger sus sistemas? ¿Todos usan el mismo enfoque?
Muchas organizaciones mantienen múltiples funciones de seguridad internamente. Esto puede causar conflictos de recursos, así como diferentes enfoques en la protección de la infraestructura interna, un método que es altamente ineficiente y lleno de oportunidades para el fracaso.
- ¿Utiliza los mismos servicios que vende para proteger sus propios sistemas?
Si su ISP no confía en sus propios productos y servicios para proteger su infraestructura y datos, ¿por qué usted debe confiar en ellos para proteger el suyo?
- ¿Cómo protege su red de ataques, como ataques DDoS?
Las organizaciones deben asegurarse de entender y sentirse cómodas con la forma en que su proveedor puede proteger su infraestructura de red de ataques de denegación de servicio (DDoS) distribuidos de gran tamaño.
- ¿Toma medidas activas para identificar el tráfico «malo» en su red? ¿Qué acciones toma, si las hay, para notificar a las víctimas del ataque?
Las organizaciones deben conocer si su ISP monitorea los malos actores y conoce la mala actividad en su red. También hay que preguntar si bloquean proactivamente el mal tráfico en su back bone. Si notifican a los afectados, ¿cómo lo hacen y dentro de qué plazo?
- ¿Se somete a auditorías regulares y mantiene certificaciones?
Es importante conocer si el ISP mantiene certificaciones reconocidas por la industria como ISO 27001, SSAE16 o ISAE 3402.
- ¿Encripta las comunicaciones del data center que incluyen datos del cliente?
Es importante que las organizaciones hagan que su ISP le explique los procesos de acceso a los datos de su organización. Asegurarse de que sus datos estén encriptados dentro y entre los data centers de su ISP. Conocer además si se ofrece una gama de capacidades de cifrado que mejor se adapte a sus necesidades.
- ¿Cómo proporciona acceso remoto a los datos de los clientes para los empleados y proveedores?
Compruebe las prácticas recomendadas de supervisión de acceso y autenticación de identidad y contraseña.
CLAVES PARA EL CANAL
Dale Drew considera que hacer estas preguntas no es superar los límites de ser un «buen» cliente. “A los ISP realmente profesionales, les importará ser transparentes sobre sus prácticas de seguridad para ayudar a asegurarse de que se ha encontrado al aliado adecuado para las necesidades del negocio”.
Tampoco se debe perder de vista que una empresa que tiene una infraestructura informática de mediana capacidad no puede depender de un único ISP, ya que, en caso de falla del servicio, se quedaría sin comunicaciones. Es común que los Datacenters cuenten con hasta 3 proveedores diferentes. Por lo tanto, lo más conveniente en estos casos es, en lugar de mantener alianzas exclusivas, desarrollar convenios que involucren a por lo menos dos ISP con similar capacidad de Seguridad Informática y Nivel de Servicio.
