Saltar al contenido

Cómo asegurar su software basado en la nube

Con los daños del cibercrimen que se espera que superen los 6 billones de dólares para el 2021, ninguna organización es inmune. Ya no se trata de si, pero cuando su empresa o compañía es atacada y dada la riqueza de datos financieros sensibles, las empresas de contabilidad son un objetivo deseable para que los ciberdelincuentes se aprovechen.

Los contadores de todo el país se dieron cuenta el lunes de que CCH Axcess, un popular software de impuestos y contabilidad basado en la nube de Wolters Kluwer, había caído. Un día después, Wolters Kluwer anunció que había sufrido un ataque de malware y que continuaban trabajando para restaurar el servicio.

El ataque CCH Axcess es un buen ejemplo de las vulnerabilidades que existen cuando se utilizan proveedores de terceros, incluidas las plataformas en nube o basadas en la web. Si bien la subcontratación de funciones esenciales puede proporcionar comodidad, el riesgo que acompaña a esa comodidad no puede quedar sin analizar.

Cómo asegurar su software basado en la nube
Cómo asegurar su software basado en la nube

Una investigación de violación de datos de Verizon en 2019 encontró que las aplicaciones web son un objetivo principal para los hackers. El problema central de estas aplicaciones es que involucran código de software personalizado, que puede ser fácilmente explotado por los ciberdelincuentes. Algunas estimaciones sugieren que cada año se producen 111.000 millones de líneas de código de software nuevo, lo que deja a los piratas informáticos innumerables oportunidades de encontrar vulnerabilidades y puertas traseras en una red.

Cuando las empresas dependen de un software de terceros como CCH Axcess para alojar sus datos o proporcionar funciones comerciales críticas, siguen siendo responsables de una amplia gama de asuntos. Estos incluyen la seguridad, disponibilidad, proceso y confidencialidad, hasta la privacidad de lo que está alojado por el tercer proveedor.

Dada la realidad de los negocios de hoy en día, ¿cómo puede una empresa aprovechar estas herramientas y al mismo tiempo practicar una buena ciberseguridad?

Haz tu investigación . Sus datos son tan seguros como los empleados y los procesos del vendedor lo hagan. Al negociar un contrato inicial, debe estar seguro de que el proveedor está tomando medidas proactivas para evitar que sus datos se vean comprometidos en violaciones de seguridad y fallos de proceso. Busque proveedores que proporcionen sistemas de alta disponibilidad verificables, normalmente etiquetados como “tres nueves” por proporcionar una disponibilidad del sistema el 99,9 por ciento del tiempo.

Asegurar la privacidad . Quiere asegurarse de que sus datos están aislados de los datos de otras compañías que pueden estar utilizando el mismo proveedor o software. Pida a su proveedor que verifique que sus datos sean discretos y estén protegidos de otros clientes que accedan a ellos, accidentalmente o por diseño. También puede solicitar un informe SOC 2 a su proveedor.

Determinar la propiedad . Consulte a un asesor jurídico para determinar quién es el propietario de sus datos después de que se transfieran a un proveedor externo. En la mayoría de las situaciones en los Estados Unidos, usted es el propietario de los datos, independientemente de dónde se almacenen.

Sepa lo que hay en su red . El Internet de las cosas (IoT) puede aumentar la eficiencia operacional, pero también disminuir su nivel de seguridad. Las organizaciones se ven comprometidas todos los días a través de sistemas de terceros que no sabían que estaban en su red. Si no puedes saber cuando se añade un nuevo dispositivo en cualquier lugar de tu red, hay un problema.

Practica lo que predicas . Los has escuchado antes, pero nunca está de más reforzar la buena higiene cibernética. Si se lo exiges a tus proveedores de servicios -que deberías- también deberías exigírselo a tus empleados. Los consejos de seguridad cibernética de Evergreen incluyen mantener todo el software actualizado, utilizar la autenticación de doble factor y practicar una buena administración de contraseñas, capacitar al personal en esquemas de phishing y monitorear su red. También puede contratar a un experto en ciberseguridad para que realice pruebas de penetración avanzadas para descubrir cualquier posible vulnerabilidad en su sistema.

Conclusión

Como muestra este reciente ejemplo de vulnerabilidad cibernética, su capacidad de funcionamiento está directamente relacionada con los procedimientos de su proveedor, la respuesta rápida y la planificación avanzada. Siga los pasos descritos anteriormente para asegurarse de que está haciendo su debida diligencia al seleccionar a terceros proveedores como parte de una estrategia de seguridad cibernética orientada al delito.

Artículos relacionados

Ciberseguridad para los contables

Lo que preocupa a la seguridad de las pequeñas y medianas empresas