La seguridad de los datos: un factor clave para elegir a su proveedor SaaS

Paso 1: Identificar un proyecto sensible

Un proyecto de SI se considera sensible si involucra datos – personales o no – para los cuales una pérdida de integridad tendría un impacto jurídico/legal en la empresa. Las consecuencias de una violación de la seguridad pueden ser de naturaleza legal, financiera u operativa. En cualquier caso, serán perjudiciales para la imagen de marca.

Para protegerse contra los ciberataques más comunes, como los programas de rescate (ransomwares), su proveedor de servicios debe implementar un enfoque de ciberresistencia con el administrador de seguridad desde el lanzamiento del proyecto. La norma ISO 27001 y las indicaciones proporcionadas por la CNIL deben considerarse las mejores prácticas mínimas a la hora de evaluar su ciberseguridad.

Más allá de la fase inicial, la seguridad de los datos debe seguir siendo una parte importante de la política de la empresa, lo que significa que se le debe asignar un contacto específico en cada hito del proyecto.

Paso 2: Garantizar la seguridad de los datos durante la implementación del proyecto

Durante el desarrollo del proyecto, el proveedor de servicios SaaS definirá las reglas a implementar para asegurar su sistema:

• Seguridad de la contraseña;
• Prevención de la instalación de malware;
• Encriptación de datos;
• Trazabilidad de las operaciones realizadas en las máquinas y detección de intrusos;
• Copia de seguridad y restauración de datos.

En Generix Group, estas acciones de ciberprotección se realizan internamente: toda la información se almacena en el servidor SaaS de la empresa, excepto las contraseñas.

El acceso también debe ser seguro para el cliente y el proveedor. Las empresas deben estar atentas a los robos de equipos profesionales y notificar a los proveedores de servicios para que puedan restringir el acceso de forma remota. Cuando los empleados dejan la compañía, es imperativo revocar sus derechos a los servicios y software a los que tenían acceso.

En Generix Group, un solo procedimiento ofrece conexión a la libreta de direcciones interna del cliente. Cuando un empleado deja la empresa, la libreta de direcciones del cliente transmite esta información a la libreta de direcciones de Generix Group automáticamente. La información se borra instantáneamente, lo que garantiza la seguridad de los datos. Por el contrario, las nuevas llegadas de empresas se gestionan directamente para que sean inmediatamente operativas en la empresa.

En Generix, se utiliza un procedimiento específico para conectar un directorio interno al directorio del cliente. De este modo, cuando un empleado deja la empresa, el directorio del cliente transmite esta información al directorio de Generix Group automáticamente. La información se borra instantáneamente, lo que garantiza la seguridad de los datos. Por el contrario, las nuevas llegadas de empresas/colaboradores se gestionan directamente para que sean inmediatamente operativas en la empresa.

Paso 3: comprobar la calidad del inicio de la producción

Justo antes del lanzamiento de la producción, se debe tener cuidado al verificar que los compromisos asumidos por los equipos del proyecto se hayan hecho operativos.

En el caso de Generix Group, los equipos de proyecto implementan fases de prueba para todas las aplicaciones. Las auditorías de código y las pruebas de intrusión también son llevadas a cabo por un hacker ético en modo de arranque lean (mejora continua) poco antes del lanzamiento de la producción. El objetivo es refinar las medidas de seguridad de datos implementadas al final del juego.

Para garantizar la seguridad de los datos al implementar un SI, el rigor y la sistematización de los procesos son vitales. Además, GDPR ha convertido la seguridad de los datos en una cuestión reglamentaria. Por eso, la elección del proveedor de SaaS adecuado no podría ser más importante.