Cuatro preguntas que los funcionarios gubernamentales deben hacer a los proveedores de tecnología

Byadmin

Durante el último año, hemos experimentado un aumento impactante en los ataques cibernéticos por parte de perpetradores cada vez más sofisticados. Si bien se presta mucha atención a las actividades industriales frágiles a gran escala, las agencias gubernamentales siguen siendo el objetivo principal. de hecho, Microsoft advirtió contra otro posible ataque del mismo grupo ruso detrás de SolarWinds, esta vez especialmente para los distribuidores.

Las violaciones en cualquier nivel de gobierno pueden proporcionar información muy confidencial. Como vimos en el ataque a SolarWinds del año pasado, muchas vulnerabilidades cibernéticas se pueden atribuir a los proveedores de tecnología. No obstante, es importante que las iniciativas digitales del gobierno aceleradas por la pandemia sigan avanzando para atender las necesidades de sus afiliados. Los gobiernos deben evaluar más de cerca los regímenes de seguridad de los futuros proveedores de tecnología, en lugar de retrasar las iniciativas de cambio.

La mayoría de los líderes gubernamentales saben que deben buscar acreditaciones como FedRAMP, NIST e ISO cuando examinan socios potenciales, pero en cierto sentido, estas acreditaciones son un factor importante. Estas son solo las primeras credenciales que debe buscar (sin ellas, indica que la seguridad no es una prioridad), pero hay muchas otras señales que buscar. Para minimizar realmente el riesgo, los funcionarios gubernamentales deben preguntar a los proveedores de tecnología sobre la seguridad:

1. ¿Cómo se integra la seguridad en su organización?

En el contexto de amenazas actual, la seguridad debe incorporarse a la cultura del proveedor. Todos los empleados son responsables de garantizar la seguridad de su red. Hablando de empresas que actualizan constantemente sus protocolos de seguridad y enseñan continuamente a sus empleados sobre ellos, es una buena señal de que están adoptando un enfoque fuerte y preventivo de la seguridad. Además de instruir a los empleados para que no hagan clic en los correos electrónicos de phishing, todas las personas deben recibir capacitación periódica sobre la cantidad y la gravedad de los ataques cibernéticos, los indicadores clave de posibles ataques y más. Tengo. Además, la organización necesita un equipo de seguridad interno dedicado a desarrollar los protocolos de seguridad de la empresa y educar continuamente a sus empleados.

2. ¿Cuál es el proceso para detectar y responder a las amenazas de seguridad?

Los proveedores deben tener un centro de operaciones de seguridad física donde los profesionales de seguridad monitoreen constantemente las vulnerabilidades en productos y redes, así como también mantengan a todos los empleados informados sobre la situación de seguridad. Este nivel de visibilidad en el sistema permite a los proveedores responder rápidamente a las amenazas de seguridad antes de que causen daños graves. Por ejemplo, el hacker reciente detrás de la violación de MTA usó una sala de día cero (una sala de software desconocida para el operador). Este es un claro ejemplo de lo que puede pasar si no trabaja activamente para corregir una vulnerabilidad.

Verificar que un socio tecnológico tenga un SOC puede ser la diferencia entre experimentar un apagado total de la red y recibir un correo electrónico de recordatorio para observar los protocolos de seguridad. No hace falta decir que quieres que lo instalen.

3. ¿Cómo construye y evalúa su software?

Las empresas de tecnología actualizan constantemente su software para brindar a sus clientes la mejor experiencia posible. Sin embargo, las actualizaciones constantes pueden perforar el software sin saberlo y crear oportunidades para que los piratas informáticos ingresen a su red.

Cada vez que cambie su codificación, debe escanear su código para asegurarse de que no presente nuevas vulnerabilidades. El escaneo dinámico de aplicaciones, un procedimiento de prueba común, permite a los equipos de software escanear aplicaciones en ejecución, identificar rápidamente áreas vulnerables y cerrar agujeros antes de que la aplicación se implemente oficialmente. Además, es importante realizar pruebas de penetración periódicas en todo el software (antiguo y nuevo). Las pruebas de penetración simulan ataques cibernéticos y ayudan a los equipos de seguridad a garantizar regularmente que no haya puertas traseras digitales en la red que los ciberdelincuentes puedan atravesar.

Cada una de estas pruebas es coherente, lo que permite a los equipos de software desarrollar e iterar herramientas y aplicaciones sin exponer a la organización a nuevas ciberamenazas.

4. ¿Existe un Director de Información de Seguridad?

Así como los directores financieros y los directores de marketing son esenciales para el equipo ejecutivo, también lo son los directores de seguridad de la información. Cuando una empresa invierte en la contratación de líderes de seguridad de nivel ejecutivo, es un indicador poderoso de que priorizan la seguridad tanto como priorizan las finanzas y el marketing. Con las capacidades de CISO, se realizan esfuerzos para proteger los datos de los clientes e identificar riesgos potenciales, y todos los protocolos de seguridad se desarrollan de acuerdo con el marco de seguridad NIST más reciente.

Algunas instituciones querrán implementar soluciones de proveedores en las instalaciones. Esto le permite eludir las obligaciones de seguridad de los proveedores de computación en la nube. Sin embargo, implementar soluciones de proveedores en el centro de datos o en la nube no hace que su organización sea más segura. De hecho, esta estrategia plantea un grave riesgo de seguridad. La única forma de proteger a su organización de las crecientes amenazas cibernéticas tanto como sea posible es responsabilizar a los proveedores de cumplir con las mejores prácticas de seguridad.

Del mismo modo, no se debe confiar en los proveedores que dicen: “Nosotros controlamos la seguridad, así que usted no tiene que hacerlo”. La seguridad ya no se subcontrata. La verdadera seguridad es la colaboración entre proveedores y clientes.

La integración de la tecnología en sus operaciones diarias plantea desafíos de seguridad esencialmente nuevos. Al hacer las preguntas correctas durante el proceso de revisión, puede continuar su transformación digital sin ningún problema.

Bob Ainsbury es el Director de Producto de Granicus.

Similar Posts

Lo que necesita saber sobre los servicios de coubicación

Lo que necesita saber sobre los servicios de coubicación

Byadmin

Colocación El servicio ha migrado. Sí, puede llenar un almacén vacío, pero hoy en día hay muchas más opciones, colocaciones aún más sofisticadas. datos Un centro que opera pasillos cálidos y fríos que protege ecológicamente el hardware crítico para el negocio de los gases calientes. Sobre el Autor Terry Storrar es el director general del…

Una red neuronal recurrente que infiere la estructura temporal global a partir de ejemplos locales

Una red neuronal recurrente que infiere la estructura temporal global a partir de ejemplos locales

Byadmin

Después de entrenar a la RNN en algunas versiones traducidas del atractor de Lorenz, la RNN almacena el atractor como una memoria y puede traducir su representación interna de Lorenz cambiando las variables de contexto. Crédito: Kim et al. La mayoría de los sistemas informáticos están diseñados para almacenar y manipular información, como documentos, imágenes,…

UnitingCare Queensland Security Incident desconecta algunos sistemas

UnitingCare Queensland Security Incident desconecta algunos sistemas

Byadmin

UnitingCare Queensland ha confirmado que algunos sistemas se han vuelto inaccesibles a expensas de un incidente cibernético. Una organización que brinda atención a personas mayores, asistencia para discapacitados, atención médica y servicios de respuesta a crisis en todo el estado dijo que el incidente ocurrió el domingo 25 de abril de 2021. “Como resultado de…

Microsoft comienza el lanzamiento oficial de Windows 10 1909

Microsoft comienza el lanzamiento oficial de Windows 10 1909

Byadmin

Crédito: Microsoft Windows 10 Qué significa Windows 11: estaremos atrapados con millones de zombis de Windows 10 Windows 11: Microsoft elimina estas características y aplicaciones de Windows 10 Así es como puede obtener una actualización gratuita de Windows 10 Guía de privacidad de Windows 10: cómo tomar el control Siete molestias de Windows 10 (y…

Vista previa práctica de LG Wing: ¿Quién dijo que los teléfonos eran aburridos en 2020? | XDA

Vista previa práctica de LG Wing: ¿Quién dijo que los teléfonos eran aburridos en 2020? | XDA

Byadmin

Vista previa práctica de LG Wing: ¿Quién dijo que los teléfonos son aburridos? ¿No parece que hace mucho tiempo que los escritores de tecnología se lamentaban de que los teléfonos se hubieran vuelto aburridos? # 8221;todo es una losa de vidrio tipo sándwich,” dijimos. Resulta que hablamos demasiado pronto. El último teléfono inteligente de LG,…

Los Outriders llegarán a 3,5 millones de jugadores y se convertirán en la “próxima gran franquicia” de Square Enix.

Los Outriders llegarán a 3,5 millones de jugadores y se convertirán en la “próxima gran franquicia” de Square Enix.

Byadmin

Square Enix anunció que los Outriders del desarrollador People Can Fly alcanzaron los 3,5 millones de jugadores únicos en el primer mes. Nos complace anunciar que el número de jugadores únicos superó los 3,5 millones en el primer mes después del lanzamiento. ¡Muchos gracias! Más información, incluidas noticias sobre parches, aquí: https://t.co/7F73ZtRboO Más estadísticas para…

Leave a Reply