La seguridad de los datos es un criterio fundamental en la selección de una solución de GMAO alojada en la web. No obstante, es difícil valorar rápidamente la capacidad de un proveedor de GMAO web para proteger sus datos, ya que los criterios técnicos son muy numerosos y oscuros para el público lego.
A continuación encontrará 5 preguntas que debe plantearse al valorar un buen proveedor con respecto a la seguridad.
¿Qué ocurre con nuestros datos si queremos cambiar de programa?
Los datos que crea y almacena en el servidor de su proveedor de programa de mantenimiento web deben permanecer siempre en sus manos. En caso de incumplimiento del contrato, debe garantizarle una copia y la transmisión de sus datos cuando se lo solicite.
Asegúrese además de que el formato en el que se devuelven sus datos le permite migrar fácilmente a otro proveedor, con otro programa.
¿Qué acuerdos de nivel de servicio (SLA) ofrecen?
L’accord de niveau de service (SLA) est essentiel dans les contrats de Software as a Service (Saas), car c’est lui qui garantit que le service fourni sera conforme aux engagements du fournisseur. De plus, l’accord de niveau de service est censé proposer des solutions dans le cas où le fournisseur ne serait pas en mesure de tenir ses engagements.
Por lo tanto, es fundamental que se asegure de que su proveedor ofrece un acuerdo de este tipo y de leerlo detenidamente, en su caso.
En primer lugar, compruebe con su proveedor que la tasa de disponibilidad del servicio prestado es suficiente y asegúrese de que ha entendido su definición de disponibilidad e indisponibilidad del servicio. La tasa de disponibilidad se determina por la clasificación del o de los centros de datos de su proveedor.
A continuación, pregunte por las medidas aplicación para hacer frente a los incidentes: recuperación tras un siniestro, plazos de resolución previstos, etc.
¿Ha experimentado alguna vez attaques de seguridad?
Pida a su proveedor de la solución de GMAO una lista completa de las brechas de seguridad experimendas en su empresa y pregúntele qué medidas correctivas se han tomado. Esto le dará una buena idea de su capacidad de respuesta y del tipo de seguridad existente. Por ejemplo, realizar auditorías de seguridad y pruebas de intrusión periódicas indican la toma de conciencia en cuanto a la importancia del refuerzo de la seguridad de los datos de los usuarios.
La seguridad física de sus datos también es fundamental: pregunte al proveedor de la solución de GMAO web qué políticas ha iniciado para prevenir y/o responder a un intento malintencionado de transferir datos de un ordenador de su empresa a un dispositivo externo, como una memoria USB, por ejemplo.
¿Va a contar con funcionalidades avanzadas de gestión de identidades y de control de acceso?
Para impedir que las personas equivocadas accedan a los datos sensibles de su empresa, su proveedor de solución de GMAO web debe garantizar:
1. Una seguridad óptima de las contraseñas
La gestión de las contraseñas de un programa informático alojado íntegramente en la web debe respetar 3 reglas fundamentales de seguridad informática:
Inicio de sesión único con tiempo de sesión
Las conexiones simultáneas a las mismas instancias y con los mismos inicios de sesión son un fallo de seguridad para los programas alojados en la web. Olvidarse de cerrar la sesión es habitual y también supone un riesgo para la confidencialidad de sus datos, de ahí la necesidad de establecer un límite de tiempo de una sesión abierta.
La expiración automática de las contraseñas
Tener la misma contraseña durante demasiado tiempo resulta más indefenso a los intentos de pirateo, por lo que es necesario cambiarlas a menudo. Para impedir el cambio de forma manual de todas las contraseñas de todos los usuarios del programa, el procedimiento debería automatizarse ajustando un plazo de caducidad.
Para mayor comodidad, asegúrese de que el proveedor de la solución de GMAO web le permite configurar este plazo a su gusto.
Límite del número de intentos de conexión
Una de las principales técnicas utilizadas por los piratas informáticos consiste en probar un gran número de contraseñas seguidas usando un programa de automatización. Por eso, es importante restringir el número de intentos de conexión. Además, es interesante poder hacer un seguimiento de estos intentos de conexión si desea iniciar un procedimiento para determinar la identidad de un posible pirata informático.
2. La posibilidad de asignar estados a los usuarios
No todos los usuarios de la solución de GMAO web de su empresa necesitan acceder a la misma información. Además de controlar el acceso al programa, también es necesario controlar el acceso a la información dentro del propio programa.
Por ejemplo, un responsable administrativo no necesitará tener acceso a las funcionalidades y a los datos que necesita un técnico. Por lo tanto, debe poder conceder un acceso más o menos amplio a los usuarios en función de su estatus.
¿Cómo está protegida su infraestructura física en la nube?
La infraestructura física de almacenamiento de los datos debe ser, por supuesto, segura.
Pregunte a su proveedor si su(s) centro(s) de datos está(n) equipado(s) con videovigilancia. ¿Cómo se controlan las entradas en los centros de datos? ¿Cuáles son las normas contra incendios?
Información relevante: la norma ISO 27002 es una garantía fiable de la seguridad física de un centro de datos.
Por último, asegúrese de que sus datos se replican de manera idéntica en un centro de datos de emergencia (duplicación del centro de datos) para prevenir cualquier eventualidad.