Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Se requiere planificación y seguimiento para garantizar el cumplimiento y la seguridad móviles

De una forma u otra, la mayoría de las organizaciones tienen que lidiar con los cambios de estrategia de TI y de usuarios derivados de las aplicaciones y los datos móviles. Estos esfuerzos pueden ir desde el simple desarrollo y soporte de aplicaciones móviles hasta el desarrollo de programas detallados para traer su propio dispositivo (BYOD) que permiten a los empleados elegir sus propios dispositivos informáticos para el usuario final.

A medida que los datos se vuelven cada vez más móviles y superan los límites de la red corporativa tradicional, mantener el cumplimiento y la seguridad puede ser un desafío. En los últimos cuatro o cinco años, he participado en numerosas discusiones de liderazgo de TI sobre cómo hacer que los datos y las aplicaciones sean más móviles y accesibles. En muchos de esos casos, sin embargo, me sorprendió descubrir que los líderes de TI en realidad no tenían un objetivo o concepto bien definido para adaptarse a la tendencia de movilidad. Sin estos objetivos, la privacidad, la seguridad y el cumplimiento se ven potencialmente afectados.

Al igual que con cualquier decisión tecnológica, poder mantener la seguridad o el cumplimiento de la privacidad depende en gran medida de conocer el tipo y alcance de la información involucrada. Las preguntas clave para hacer a los líderes empresariales deben incluir las siguientes:

  • ¿Qué tipo de información estamos intentando hacer móvil?
  • ¿Qué cambios tecnológicos serán necesarios para que estos datos o aplicaciones sean móviles?
  • ¿Quién va a acceder a esta aplicación o datos móviles?
  • ¿Qué importancia tienen estos datos o aplicaciones para nuestra organización, especialmente si dejaran de estar disponibles, se corrompieran o fueran pirateados como resultado de ser móvil?
CONTENIDO RELACIONADO  Abundan las alternativas a SharePoint

Es probable que las preguntas adicionales también sean útiles, pero estas cuatro consultas son un buen lugar para comenzar a identificar qué se debe proteger, cómo la organización y terceros esperan protegerlo y cuáles podrían ser las consecuencias si no se protege adecuadamente. Aclarar esta información también hace que sea mucho más fácil decidir qué tipos de tecnologías o procedimientos de seguridad serán necesarios. Las posibilidades incluyen lo siguiente:

  • Al crear una nueva aplicación móvil, las empresas pueden considerar productos de escaneo de código de aplicación adicionales o posiblemente pruebas de penetración adicionales.
  • Para una iniciativa BYOD en la que los dispositivos de propiedad personal tienen acceso a los sistemas y datos corporativos, las empresas pueden necesitar un producto de administración de dispositivos móviles (MDM), una solución de control de acceso a la red y posiblemente incluso tecnología DLP.
  • Mover aplicaciones o datos a la nube también puede resultar en que los dispositivos de propiedad personal tengan acceso a los datos de su organización, por lo que las empresas deben considerar si los posibles proveedores de la nube brindan las opciones de seguridad enumeradas anteriormente.

Examine a sus proveedores

En algunos casos, la movilización de datos implica trasladarlos a un proveedor en la nube, ya sea que eso signifique simplemente usar un tercero para alojar su red y servidores o emplear un proveedor que administre todo, desde el hardware hasta la aplicación o los datos en sí. Para mantener el cumplimiento, es importante tener una estrategia para investigar a las partes externas que pueda utilizar como parte de su estrategia de datos móviles.

Cloud Security Alliance (CSA) proporciona recursos valiosos para las empresas que están investigando a los proveedores y proveedores de la nube. La CSA es un grupo sin fines de lucro que ha desarrollado pautas y plantillas de documentos de evaluación para que las organizaciones puedan examinar a los proveedores de la nube utilizando un conjunto estandarizado de preguntas asignadas a estándares de seguridad comunes como PCI DSS, ISO 27001 y la Autorización y Riesgo Federal. Programa.

CONTENIDO RELACIONADO  Workday admite el problema de la diversidad negra y se compromete a mejorar

Para escenarios en los que su organización puede simplemente estar movilizando datos a través de una aplicación o tecnología administrada internamente, la empresa debe realizar una investigación adicional sobre los proveedores para ver si han tenido problemas de seguridad o privacidad. Además de utilizar algunas de las firmas de investigación de productos más populares, como Gartner y Forrester, utilice redes de pares para conocer su experiencia con los proveedores y sus productos. LinkedIn y otros foros comerciales comunes se pueden utilizar para consultar sobre experiencias negativas específicas que sus compañeros puedan haber experimentado. A veces también es útil preguntar a las empresas de pruebas de penetración sobre un producto o proveedor en particular, porque si un proveedor tiene una debilidad en la protección de datos, es probable que una buena empresa de pruebas de penetración ya la haya descubierto.

Por último, las empresas deben desarrollar una estrategia para monitorear continuamente la seguridad de sus datos o entornos móviles. Si su empresa implementa algunas de las tecnologías, como DLP o MDM, es posible que desee considerar también una buena herramienta de gestión de eventos e incidentes de seguridad, o SIEM, para dar sentido a las diversas alertas y notificaciones. En un nivel superior, también podría tener sentido considerar la posibilidad de contratar un servicio de inteligencia de amenazas para obtener información sobre las redes subterráneas que puedan estar dirigidas a sus sistemas, o incluso a los de sus proveedores externos.

La mayor demanda de datos y sistemas móviles es una parte inevitable de la TI y la seguridad en estos días. Los programas de seguridad y cumplimiento más exitosos serán aquellos que preparen el escenario de manera proactiva para la habilitación de datos móviles. La clave para crear esas condiciones favorables es definir claramente el alcance previsto de la estrategia de datos móviles y luego implementar los controles adecuados de acuerdo con ese alcance. Su empresa también debe prestar mucha atención a la investigación de proveedores y proveedores y vigilar de cerca el cumplimiento y la seguridad de sus datos una vez que se movilizan. Después de todo, los beneficios de la movilidad serán nulos si solo hace que los datos sean más vulnerables a las preocupaciones de seguridad y cumplimiento.

CONTENIDO RELACIONADO  Considere estas estrategias clave de almacenamiento en caché de microservicios

Sobre el Autor:
Jeff Jenkins es un experto en cumplimiento normativo, seguridad de la información y gestión de riesgos, y actualmente es director de ciberseguridad en Travelport LTD. Antes de ocupar su puesto en Travelport, Jeff ocupó puestos ejecutivos / de liderazgo de seguridad para varias organizaciones del sector público y privado, incluidas Cbeyond, Equifax, The First American Corporation, S1, el Departamento de Recursos Humanos del estado de Georgia y las Escuelas Públicas del Condado de Cobb. . Jeff cuenta actualmente con las certificaciones CISSP, CISA, CISM y CGEIT.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

¿Qué es el código base (código base)?

Una base de código (a veces escrita como dos palabras, base de código) es el cuerpo completo del código fuente de un programa o aplicación de software determinado. El código fuente es la versión de

¿Cuánto sabe acerca de las bases de datos NoSQL?

Los arquitectos que se ocupan de big data pueden encontrarse con situaciones para las que las bases de datos relacionales no fueron diseñadas. Llegan las bases de datos NoSQL para ayudar a administrar datos complejos,

¿Qué es una carga útil?

¿Qué es una carga útil (informática)? En informática, una carga útil es la capacidad de carga de un paquete u otra unidad de transmisión de datos. El término tiene sus raíces en el ejército y

¿Qué es Unified Endpoint Management (UEM)?

La administración unificada de terminales (UEM) es un enfoque para proteger y controlar computadoras de escritorio, portátiles, teléfonos inteligentes y tabletas de una manera cohesiva y conectada desde una sola consola. La administración unificada de

Configuración de filtro estático frente a dinámico en AIS

¿Podría decirme las diferencias entre la configuración de filtros estáticos y dinámicos en AIS? Si utiliza filtros estáticos, todos los servidores de aplicaciones utilizan filtros idénticos para determinar qué eventos deben registrarse en el registro

La transformación digital industrial necesita líderes

La transformación digital industrial tiene como objetivo reinventar el diseño, la ingeniería y la fabricación, una tarea difícil. Las tecnologías emergentes como IoT, impresión 3D y gemelos digitales, junto con la demanda cambiante de los

Calcule el TCO de dispositivos hiperconvergentes para VDI

Aunque muchas organizaciones aún desconfían del precio inicial de la infraestructura hiperconvergente, las tiendas de VDI deben considerar los ahorros operativos a largo plazo al sumar el costo total de propiedad. La decisión de implementar

Estrategia vertical de Microsoft vinculada a SI, ISV

Microsoft está recurriendo a integradores de sistemas, socios asesores e ISV para avanzar en sus objetivos de la industria en el año fiscal 2021 de la compañía. Los ejecutivos que hablaron esta semana en Microsoft

Redes privadas 5G para ayudar a expandir IoT

Imagínese una enorme fábrica de papel en la Suecia rural. Está bastante aislado, ubicado en una pequeña ciudad a casi 30 millas de la ciudad más cercana, y se extiende a casi una milla desde

Veritas Rising – Sopa de almacenamiento

Apropiadamente, Symantec llamará Veritas Technologies Corp. a su nueva filial de gestión de la información. La empresa estará formada por muchos productos de Veritas original, que Symantec adquirió en 2005. Permítanme decirles que creo que

¿Qué es el protocolo CloudTrust (CTP)?

El Protocolo de CloudTrust (CTP) es un procedimiento para establecer la confianza digital entre un cliente de computación en la nube y un proveedor de servicios en la nube. Los clientes potenciales de servicios en

Seguridad DMZ virtual en la nube

Una DMZ, o zona desmilitarizada, es un host de computadora o una pequeña red que se usa principalmente para separar una red en múltiples … zonas para mejorar la seguridad. El nombre se deriva del

Instalar Citrix XenServer gratis

Cuando se habla de virtualización Xen, la mayoría de la gente piensa inmediatamente en el tipo de virtualización que se incluye en muchas distribuciones de Linux. Desafortunadamente, según mi experiencia, configurar estas versiones de Xen

¿Puedo eliminar certificados de la CA?

Nuestra autoridad de certificación tiene tres certificados en lugar de uno y los está utilizando para emitir un nuevo certificado para Internet Information Services (IIS). ¿Cómo puedo deshacerme de los dos certificados adicionales y mejorar

Creación de fuentes de datos de BI más eficientes

En los últimos años, el análisis y la generación de informes de inteligencia empresarial se han escapado de su tradicional lápiz de almacenamiento de datos. Power BI de Microsoft es quizás el ejemplo más citado

IoT y el apocalipsis del sistema heredado

En el mundo acelerado de hoy, las personas esperan información y servicios personalizados en el momento en casi todos los aspectos de sus vidas, y especialmente cuando se trata de tecnología. Las aplicaciones modernas deben

Microsoft Teams llama a empresas de socios de Sparks

Las funciones de llamadas de Microsoft Teams recientemente expandidas se encuentran entre las principales oportunidades del próximo año para los socios que se centran en la plataforma de colaboración, a través de la cual los

¿No intentes esto en casa?

Si bien el software de infraestructura de datos elaborado de forma casera por Google Inc. no es exactamente «Hadoop», influyó en la creación de la plataforma Hadoop. La compañía es conocida desde hace mucho tiempo

Probar y confirmar funciones con parámetros de PowerShell

Las secuencias de comandos de Windows PowerShell pueden ahorrarle mucho tiempo. PowerShell puede automatizar o administrar casi todo dentro de la infraestructura de Microsoft desde la línea de comandos. Los scripts de PowerShell pueden ser

Comprensión de WaaS (Windows 10 como servicio)

Actualmente estoy disponible para desarrollar un seminario web para Spiceworks patrocinado por Microsoft sobre varios temas de Windows 10 (agregaré una actualización al final de esta publicación cuando descubra los detalles de transmisión y /

Otra herramienta útil en SQL Server 2005

Una nueva característica agregada a SQL Server 2005 es la capacidad de crear copias de seguridad de solo copia. La ventaja de este tipo de copia de seguridad es que no interfiere con sus secuencias

¿Qué nueva técnica utiliza el troyano bancario Osiris?

Recientemente se descubrió una nueva forma del troyano bancario Kronos llamado Osiris utilizando una técnica de evasión avanzada conocida como suplantación de procesos. ¿Cómo utiliza Osiris la suplantación de identidad de procesos y qué amenazas

Deja un comentario