Cómo mitigar los riesgos en la seguridad de los datos al hacer outsourcing global
Aunque la externalización de servicios es una excelente forma de ahorrar costes, conviene tener en cuenta algunas premisas para mantener la integridad de los datos que se comparten.
Diseñando un buen programa de seguridad
Incluso con un número creciente de funciones que se subcontratan a una ubicación en el extranjero en cualquier punto de la geografía, rara vez existe un programa de seguridad amplio. Diseñar y ejecutar un programa sistemático de seguridad puede mitigar las preocupaciones de seguridad de datos en el exterior.
Con una clara comprensión de las preocupaciones, podemos abordar la cuestión de cómo hacer frente a las cuestiones de seguridad de los datos en el exterior, desde garantizar la seguridad en su infraestructura de TI a una formación adecuada. Aquí hay algunas tareas que se deben llevar a cabo:
Tarea 1: Ajuste la arquitectura de sus tecnologías de la información TI para mejorar la seguridad.
Las empresas no siempre requieren una revisión general de su arquitectura para que sea compatible con la seguridad. Por lo general, sólo es necesario algunos ajustes. Se comienza por la comprensión de los sistemas informáticos que controlan los datos sensibles y, a continuación, asegurar los datos y los sistemas de TI. Aquí hay tres ejemplos de algunas iniciativas concretas:
a. Clasificación de datos y ocultación: Los datos son clasificados sobre la base de su importancia, y los campos de datos críticos están enmascarados antes de que sean enviados fuera. La ocultación de datos por lo general es una tarea única que supone gran esfuerzo seguido por un pequeño esfuerzo incremental. Este esfuerzo ayuda a los proveedores de servicios a prestar atención y poner control eficaz de los datos importantes en lugar de disipar su esfuerzo en todos los datos.
b. Clasificación por roles: Una vez que los datos críticos se han clasificado, es importante que sólo sean accesibles por las personas autorizadas para verlos. Ello exige una de clasificación y definición de funciones y de acceso a datos. La clave es definir adecuadamente los roles y encontrar lagunas en los sistemas TI basados en, donde el acceso a los datos basado en roles no esté funcionando como exige la política de seguridad.
c. Definir las normas de seguridad de la empresa: Los clientes han comenzado a especificar las normas relacionadas con la red, con los ordenadores de escritorio y servidores con el fin de incorporar políticas de seguridad. Por ejemplo, en el área de red, existirán políticas de separación de redes, cortafuegos y encriptación de datos a los que se adhieren todos los proveedores de servicios. Estas normas reducen el riesgo de violaciones y proporcionan pistas de auditoría para futuros análisis.