Administrar la seguridad del vendedor

Administrar la seguridad del vendedor es algo crítico para nuestro negocio

Publicado el: 17 de junio de 2018|Categorías: Artículos|Etiquetas: , , |

Al proveer de servicios de facturación electrónica a los clientes, así como en el envío y recepción de e-mails asociados con facturación y los pagos, lidiamos con información personal de nuestros clientes.

Garantizar la seguridad de esa información es un aspecto esencial de nuestros negocios. Nuestras dos preocupaciones más grandes son el control de los proveedores de hosting, cuyos servicios utilizamos y el manejo inadvertido o brechas accidentales por parte de nuestro personal.

Hasta dónde llegue la administración del proveedor es un aspecto importante, ya que no podemos controlar físicamente nuestros propios servidores de datos y aplicaciones. En vez de eso, confiamos en proveedores de hosting externos para nuestro hardware e infraestructura de red. Todo negocio es un blanco potencial. Entre más datos procese, más grande será el objetivo. No manejamos pagos actuales, por lo que no tenemos información de tarjetas de crédito o información que permita una transferencia de fondos, pero siempre existe la posibilidad de que alguien pueda usar esa información en un esquema fraudulento de facturación, por lo que debemos estar atentos. Al final del día, la responsabilidad en caso de pérdidas que afecten a nuestros clientes, es nuestra.

Para administrar las expectativas y fomentar la confianza mediante nuestra habilidad de ofrecer promesas dedeterminando si siguen las mejores prácticas, la manera de asegurar la información y cómo aseguran sus instalaciones.seguridad, realizamos una evaluación completa de nuestros proveedores, determinando si siguen las mejores prácticas, la manera de asegurar la información y cómo aseguran sus instalaciones.

Nuestras dos preocupaciones más grandes son el control de los proveedores de hosting, cuyos servicios utilizamos y el manejo inadvertido o brechas accidentales por parte de nuestro personal.

Hemos detallado políticas de seguridad que especifican todo, desde cómo manejar nuestros sistemas internos hasta los requerimientos de seguridad y expectativas de nuestros proveedores. Construimos estas expectativas en nuestro acuerdo de nivel de servicio, y visitamos las instalaciones de los centros de datos de los proveedores para ver, por nosotros mismos, que tan bien protegidas están. Con frecuencia llevamos a nuestros clientes a estas visitas para demostrarles que los datos que nos están confiando están seguros. Buscamos proveedores que usen un enfoque similar al nuestro. Definimos qué queremos y necesitamos de un proveedor y luego realizamos revisiones anuales de los controles y políticas.

Otra gran preocupación es la gente, que inadvertidamente realiza acciones que ponen en riesgo las operaciones. Le damos seguimiento a cada acción y entonces las “banderas rojas” nos alertan si algún empleado o cliente realizó algo sin entender sus consecuencias potenciales, como abrir un e-mail con phishing o proporcionar una credencial que pueda ser utilizada como entrada no autorizada a un sistema o proceso.

La protección contra dichas situaciones accidentales requiere una enseñanza continua. Por ejemplo, enviamos un e-mail falso con phishing. No castigamos a quien lo abra, pero la acción se convierte en una oportunidad para poder educar sobre los riegos y la manera adecuada de hacer frente a comunicaciones sospechosas. El entrenamiento constante y la educación son actividades increíblemente importantes.

Para asegurarnos en contra del error humano, políticas bien definidas deben estar disponibles, las cuales deben actualizarse constantemente. Los empleados nuevos deben ser entrenados en cuanto a políticas de seguridad antes de darles acceso a cualquier sistema. Los empleados deben tomar cursos de actualización si las políticas cambian y entrenarlos nuevamente al menos una vez al año. Finalmente, siempre hay que hacer pruebas a los empleados, como una forma para identificar debilidades, fortalecer el entrenamiento y mejorar las políticas.

Hemos detallado políticas de seguridad que especifican todo, desde cómo manejar nuestros sistemas internos hasta los requerimientos de seguridad y expectativas de nuestros proveedores.

Autor: Alex Papadopulos

Parte del libro «Asegurando su infraestructura de red y aplicaciones» de Fortinet.

Alex Papadopulos es el director de operaciones de Striata América y encabeza actualmente todas las operaciones técnicas para Norte, Centro y Sudamérica. Es responsable de todas las áreas de operaciones técnicas y proyectos, incluyendo administración de proyectos, soporte, desarrollo e implementación de proyectos. Alex tiene más de 12 años de experiencia en el campo de las TI, enfocándose primero en la presentación de facturación electrónica, facturación y en la administración de la cadena de suministro.

Comparte esta historia!

Newsletter Semanal

Lo más relevante de ciberseguridad y tecnología.

Recibir Newsletter Semanal