5 preguntas de seguridad que debe hacerle a su proveedor de alojamiento
Durante años, la industria de alojamiento web ha estado luchando contra el concepto de que el alojamiento en servidores remotos es menos seguro que mantener los datos en su propio centro de datos (el "centro de datos" puede significar desde unas pocas computadoras polvorientas en un armario hasta un data center de última generación).
Entonces, ¿qué puede hacer para asegurarse de que sus datos están seguros? A continuación hay 5 preguntas de seguridad que debería hacerle a su web hoster para mantenerse seguro.
1. ¿Su organización ha sido violada alguna vez?
Si tiene suerte, la respuesta será negativa, pero desafortunadamente es más probable que sí. Una violación no es necesariamente una acusación contra una organización, solo un hecho como parte de vivir en este mundo. Debido a razones legales, puede haber una cantidad limitada de información que pueden proporcionar. Una búsqueda rápida en Google también puede proporcionar datos para cualquier cosa que sea lo suficientemente grande como para requerir divulgación pública.
2. ¿Qué requisitos de cumplimiento cubre desde una perspectiva de alojamiento?
Al realizar una auditoría, deberá proporcionar evidencia de que su entorno de alojamiento es tan compatible como su entorno corporativo. Su proveedor debe proporcionarle esa evidencia.
Los requisitos que le interesan dependerán de su industria. Podrían incluir la certificación SOC 1/2/3, la certificación de conformidad PCI, las auditorías independientes HIPAA o los contratos de Privacy Shield y Data Processor Agreements para GDPR.
Recuerde, cumplir no necesariamente significa seguridad, pero sí indica un proceso y procedimiento sólido. Cualquier proveedor que no tenga esta base sólida podría ser una indicación de estándares de seguridad cuestionables.
3. ¿Realiza periódicamente (o permite que los clientes realicen) intrusión de terceros o escaneo de vulnerabilidades?
La mayoría realizará algún tipo de prueba como parte de sus requisitos de cumplimiento y estándares de seguridad interna. Debería poder proporcionar cierta información aquí, aunque es probable que requiera un acuerdo de no divulgación para compartir cualquier información de evaluación.
Permitir que un cliente realice escaneos como este puede poner a los vecinos de su servidor en riesgo de un rendimiento degradado o puede parecer una actividad maliciosa. Si desea que se realice una evaluación independiente, prepárese para firmar acuerdos bastante estrictos sobre el alcance de lo que se puede hacer aquí.
4. ¿Qué opciones de seguridad y cumplimiento tiene disponible para proteger mis datos? ¿Qué nivel de asistencia ofrece para estas opciones?
Aquí es donde entra en juego el modelo de responsabilidad compartida. Las preguntas de seguridad anteriores se centran en la protección de la infraestructura de alojamiento subyacente para garantizar que los "clientes" en su conjunto estén protegidos.
Cuando se trata de proteger a un "cliente", el proveedor tendrá productos y servicios adicionales que se pueden contratar para satisfacer sus necesidades. Estas ofertas se diseñarán, implementarán y mantendrán según los requisitos ambientales específicos de cada cliente.
Los proveedores tendrán diferentes niveles de servicio para estos productos. Estos van desde referencias completamente administradas hasta referencias simples en las que el cliente (o terceros) es responsable de administrar la plataforma. Comprender cuánto de este trabajo puede manejar su proveedor por usted es un factor importante al evaluarlos.
5. ¿Quién tiene acceso a mis datos? ¿Mis datos son accesibles por terceros?
Muchos proveedores de hosting tienen algún tipo de separación de tareas para que cualquier empleado no tenga acceso completo a su entorno alojado. Un ejemplo podría ser que el equipo de red que admite firewalls no tiene acceso a los servidores del cliente; sólo el equipo de soporte de Linux de primera línea tiene acceso.
También podría considerar preguntar qué nivel de capacitación se requiere para los empleados que tienen acceso.
Ejemplos comunes de acceso de terceros serían copias de seguridad fuera del sitio o un servicio de seguridad cuyo centro de operaciones analiza los datos de actividad maliciosa. En general, cualquier asociación de esta naturaleza incluirá algún tipo de acuerdo de privacidad de datos entre los proveedores. Esto significa que está protegido, al menos desde un punto de vista legal.
La comunicación exacta de los datos que le preocupan específicamente puede ayudar a generar más información pertinente. Es posible que gran parte del acceso de terceros no se aplique a su entorno alojado específico.
Observaciones finales
El concepto de enfocarse al hacer estas preguntas de seguridad es "responsabilidad". Piense en esto en relación con un modelo RACI al administrar un proyecto. El hecho de que tenga la "R" asociada con su nombre no significa necesariamente que deba hacer todo el trabajo usted mismo. Significa que usted es responsable de asegurarse de que el trabajo esté terminado.
Lo mismo es cierto para las responsabilidades de seguridad y cumplimiento al pasar a un entorno de nube alojado. Su proveedor tendrá un conjunto de elementos de los que son responsables y usted, como cliente, tendrá artículos de los que es responsable.
Asegúrese de saber exactamente de qué es responsable cada parte y tendrá una buena base para tener éxito. Para usar un viejo cliché, saber es la mitad de la batalla.