Este artículo fue publicado originalmente en el blog global de Schneider Electric por
Bjarke Fenger.
Como gerente de producto, siempre pido más capacidades en lo que hacemos. En una reunión reciente con nuestro equipo de liderazgo de ingeniería, un gerente de desarrollo respondió: “Podemos ser rápidos, escalables y seguros, pero hay que elegir porque no se puede conseguir todo a la vez”. En una frase breve, captó un desafío al que nos enfrentamos. Crear un producto seguro no es de a gratis, es una prioridad por la ciberseguridad.
La conversación planteó una pregunta importante: ¿cómo garantizo la ciberseguridad?
Como usuario, busco las capacidades para resolver mi problema, pero puedo pasar por alto una parte importante. Cuando uso el software de gestión de infraestructura de centros de datos (DCIM) para garantizar mis operaciones comerciales, incluyo información financiera y de clientes crítica en este software: ¿cómo sé que el proveedor de software está priorizando la seguridad?
Garantizar la ciberseguridad de nuestros softwares es primordial
Nuestra historia en DCIM 3.0 se centra en la resiliencia, la seguridad y la sostenibilidad. La seguridad es uno de los 3 pilares y cada vez es más importante.
Todos los días, las noticias están llenas de historias sobre ataques de ransomware y hackeos que dejan a hospitales sin poder funcionar, a bancos sin poder realizar transacciones y más…
Existe un creciente negocio malicioso basado en ataques de ciberseguridad.
En la cartera de EcoStruxure IT, nuestro equipo siempre se ha centrado en ayudar a nuestros clientes a operar el centro de datos de la manera más segura.
Nuestros productos NetBotz™ permiten la supervisión y el control de acceso. Data Center Expert y IT Expert garantizan el historial de datos y los registros de auditoría. Como próximo gran paso en nuestra dedicación a un alto nivel de seguridad, ahora estamos invirtiendo en certificaciones de seguridad.
Nuestra plataforma de tarjeta de gestión de red (NMC) obtuvo recientemente la norma IEC 62443-4-2 y, como próximo paso en nuestro camino, ahora estamos en el proceso de obtener la certificación ISO27001 en IT Expert y la certificación FIPS 140-3 en Data Center Expert.
• ISO27001 es una norma internacional para sistemas de gestión de seguridad de la información (SGSI). Proporciona un enfoque sistemático para gestionar la información confidencial de la empresa, garantizando que se mantenga segura.
Esto incluye a las personas, los procesos y los sistemas de TI mediante la aplicación de un proceso de gestión de riesgos.
• FIPS 140-3 es una norma del gobierno de EE. UU. que especifica los requisitos de seguridad para los módulos criptográficos.
Estos módulos son los componentes de hardware o software que cifran y descifran los datos, lo que garantiza la ciberseguridad de las comunicaciones y la protección de los datos.
Una gran cantidad de beneficios
Nuestro proyecto para archivar estos certificados de seguridad ha sido una experiencia valiosa. Nos ha obligado a evaluar nuestros procesos y garantizar un nivel de seguridad aún mayor.
El proyecto comenzó como un enfoque en una mayor seguridad y durante el proceso hemos identificado varios otros beneficios:
1. Postura de seguridad mejorada: Tanto ISO27001 como FIPS 140-3 ayudan a las organizaciones a identificar y gestionar los riesgos de forma sistemática. Al implementar estas normas, los productos de software están mejor protegidos contra las amenazas cibernéticas, lo que reduce la probabilidad de violaciones de datos y otros incidentes de seguridad.
2. Confianza del cliente: En una era en la que las violaciones de datos son comunes, los clientes están cada vez más preocupados por la seguridad de su información. Contar con las certificaciones ISO27001 y FIPS 140-3 demuestra que nos tomamos la seguridad en serio, lo que genera confianza en sus productos.
3. Cumplimiento de las normativas: Muchas industrias tienen requisitos normativos estrictos en materia de protección de datos. La Unión Europea aplicará la directiva NIC2 en 2024. Las certificaciones ISO27001 y FIPS 140-3 garantizan que sus productos de software cumplan con estas normativas, lo que evita posibles problemas legales y multas.
4. Mejora de la continuidad empresarial: La ISO27001 incluye disposiciones para la gestión de la continuidad empresarial, mientras que la FIPS 140-3 garantiza el diseño y el funcionamiento seguros de los módulos criptográficos. Si sigue estas pautas, su organización podrá prepararse mejor y responder a los incidentes disruptivos, lo que garantizará que sus productos de software sigan estando disponibles y sean fiables.
5. Eficiencia operativa: La implementación de la ISO27001 y la FIPS 140-3 puede generar procesos más eficientes y una mejor gestión de los recursos. Al identificar y mitigar los riesgos, su organización puede evitar costosos incidentes de seguridad y centrarse en ofrecer productos de software de alta calidad.
Tranquilidad para centrarse en su negocio principal
La gran cantidad de beneficios que descubrimos al obtener las certificaciones nos brindó una gran tranquilidad.
Al utilizar soluciones de software con certificaciones ISO27001 y FIPS 140-3, nuestros clientes pueden estar seguros de que sus datos están protegidos por prácticas de seguridad líderes en la industria, lo que les permite centrarse en sus actividades comerciales principales, sin preocuparse por las amenazas de ciberseguridad.
Obtener estas certificaciones es un compromiso del equipo de EcoStruxure IT con nuestros clientes y continuaremos mejorando nuestro perfil de seguridad. IT Advisor también está planeando un certificado de seguridad y continuaremos este camino.
Te invito a que recordar el comentario del gerente de desarrollo: “Podemos ser rápidos, escalables y seguros, pero hay que elegir porque no se puede conseguir todo a la vez”.
Como soy un simple ser humano, me atraen las características y capacidades a la hora de elegir una solución de software, pero siempre debo preguntarle a mi proveedor cómo garantiza mi seguridad.
Puedo arreglármelas con menos características, pero un ataque de ransomware me dejará a mí y a mis operaciones varados.
Añadir comentario