La seguridad ya no puede ser una cuestión tratada única y exclusivamente por los equipos de TI o SecOps. Descubre por qué debes tener en cuenta la seguridad en una fase más temprana del proceso de adquisición
El coste medio mundial de una filtración de datos aumentó un 2,6%, pasando de 4,24 millones de dólares en 2021 a 4,35 millones en 2022, lo que representa un riesgo constante e importante para la continuidad, reputación y los beneficios de cualquier organización.
El aumento de los ciberataques y el panorama geopolítico actual exigen que la seguridad sea una prioridad para cualquier empresa. No sólo para sus propios productos y operaciones, sino también para las tecnologías que implantan.
Al considerar las tecnologías que ya se tienen implementadas y las inversiones futuras, la seguridad ya no puede ser solo una casilla de verificación al final de las tareas pendientes de adquisición. Debe ponerse encima de la mesa desde el principio y no perder el tiempo con una solución o herramienta que no sea capaz de asegurar o proteger adecuadamente los datos.
Terminología de seguridad que debes conocer
Seguridad, compliance, datos… son términos que se utilizan mucho. Pero ¿qué significa cada uno de ellos y por qué son importantes?
La seguridad es el conjunto de prácticas y medidas adoptadas para garantizar la confidencialidad, integridad y disponibilidad de los sistemas y la información.
Compliance implica adherirse a un conjunto de normas y regulaciones establecidas por gobiernos como GDPR o HIPAA, organismos de la industria o incluso políticas internas de la empresa.
La ciberseguridad es la práctica de proteger sistemas, redes y programas de ataques digitales.
La Protección de Datos se centra en la protección de los datos personales de los usuarios. El cumplimiento de la protección de datos es una subcategoría del cumplimiento. El objetivo principal de la protección de datos es evitar cualquier uso de los datos personales (por partes internas y externas) De forma que pueda suponer un riesgo para las personas.
Zero Trust es un modelo de seguridad basado en el principio de no confiar por defecto en ninguna entidad, independientemente de su ubicación o contexto, y exigir la verificación antes de conceder el acceso.
Protección de datos y medidas de seguridad a tener en cuenta para seleccionar un proveedor
Según el informe de Gartner Digital Markets, la seguridad y los ciberataques son uno de los principales desencadenantes de las inversiones en software, especialmente para protegerse de los daños financieros, legales y de reputación.
A la hora de seleccionar un proveedor, estos son algunos de los aspectos clave que hay que tener en cuenta en relación con la seguridad:
- ¿Cómo protege este proveedor los datos de mis usuarios? ¿Qué medidas de seguridad aplica este proveedor?
- ¿Qué normativa cumple este proveedor? Como mínimo, el proveedor que consideres debe cumplir las leyes de protección de datos en las que opera tu empresa, por ejemplo, el GDPR. ¿Hay otras normativas que cumpla el proveedor?
- ¿Cómo se rigen las transferencias de datos? ¿Toma el proveedor medidas para cumplir los requisitos y limitaciones aplicables a la transferencia de datos? Es posible que los datos no permanezcan en un mismo lugar. Por ejemplo, pueden transferirse a subprocesadores de otro país. En tal caso, ¿cómo protege el proveedor los datos que se trasladan y qué medidas adoptará para cumplir la legislación aplicable?
- ¿Ha recibido este proveedor alguna verificación? Hay muchas organizaciones independientes que verifican los controles de seguridad, privacidad y conformidad de diferentes tecnologías, entre ellas A-LIGN y CSA.
- ¿Contra qué tipos de amenazas de seguridad protege este proveedor? Por ejemplo, ¿qué puede hacer contra el malware, el phishing o los DDoS?
- ¿Qué proveedores utiliza este proveedor y cómo son de seguros? Al igual que como empresa buscas otro proveedor, es posible que éste también utilice otros proveedores en su tecnología. ¿Cómo garantizan la seguridad de esos proveedores? Si uno no cumple, la seguridad de toda la herramienta se ve comprometida.
Una plataforma de confianza
Podemos exponer estos principios fundamentales porque son también los que guían nuestra propia plataforma.
Durante más de dos décadas, en Liferay hemos situado la seguridad, el cumplimiento normativo y la protección de datos en el centro de nuestros productos, ofertas y operaciones. Gracias a nuestra experiencia y énfasis en la seguridad, hemos podido ofrecer soluciones de confianza a sectores en los que la seguridad es primordial, como el financiero, la administración pública y el sanitario.
Nuestras soluciones cloud se basan en Google Cloud Platform y tanto Liferay como Google se comprometen a proporcionar una oferta sólida y segura. Además, Liferay se encargará de más tareas de seguridad para los clientes de nuestras ofertas PaaS y SaaS, incluida la gestión de incidentes, la seguridad de la infraestructura y la protección DDoS. Pero también ofrecemos una opción de despliegue local para los clientes que necesiten cumplir requisitos de seguridad y privacidad muy específicos.
Así es como responderíamos a las medidas de seguridad anteriores, y el tipo de respuestas que querrías buscar en los proveedores que consideres.
1. Liferay protege los datos de los usuarios haciendo hincapié en la protección de datos. Diseñamos nuestros productos y ofertas con sólidas medidas de seguridad para proteger la información, incluida la aplicación de estrictas políticas de acceso a los datos, la realización de evaluaciones exhaustivas de los proveedores, la adaptación de nuestras prácticas a la evolución de la normativa sobre privacidad y la formación y equipamiento periódicos de nuestros empleados, compromisos recogidos en nuestros acuerdos.
2. Aunque ningún producto de software pueda ofrecer una lista de características para hacer que tu empresa cumpla completamente con el GDPR, Liferay DXP proporciona herramientas para acelerar en gran medida el cumplimiento. Con funciones out-of-the-box como la exportación y la eliminación de datos junto a los permisos de usuario, combinadas con la arquitectura flexible de Liferay DXP, las empresas pueden adaptar la plataforma a las necesidades cambiantes de su estrategia de protección de datos. Para más información sobre el cumplimiento de los requisitos bajo GDPR por parte de Liferay, haz clic aquí.
3. Liferay transfiere datos personales, pero implementa las precauciones adecuadas cuando así lo exigen las leyes regionales de protección de datos. Las aplicaciones que se ejecutan en las ofertas cloud de Liferay también pueden lograr el cumplimiento de la normativa sobre seguridad de los datos a través de los controles regionales de Liferay, el cifrado de datos y Sovereign Cloud de Google Cloud.
4. Liferay se ajusta regularmente a la verificación independiente de nuestros controles de seguridad, privacidad y cumplimiento para ayudar a las empresas a cumplir sus objetivos y políticas normativas, y ha recibido las siguientes certificaciones: SOC 2 Tipo 2, ISO/IEC 270001, ISO/IEC 27017, ISO/IEC 27018, HIPAA, CSA Start Nivel 1 y 2, y Esquema Nacional de Seguridad de España.
5. Con la seguridad de la infraestructura, la organización y los productos de Liferay, puedes estar protegido con:
- Sistemas de detección de intrusiones, que permite una supervisión constante y la identificación temprana de posibles brechas de seguridad.
- Tecnología DDoS mejorada con WAF e IA de Google para proteger contra tráfico malicioso conocido y desconocido.
- Tecnología anti-malware en todos los sistemas relevantes.
6. Liferay se rige por un riguroso proceso de investigación de todos los proveedores para garantizar que tu seguridad no se vea comprometida por ninguno de los proveedores que utilizamos.
Compromiso de Liferay con la seguridad
Hemos hecho de la seguridad una prioridad de nuestra plataforma para que puedas llevar a cabo tus operaciones con una plataforma en la que puedas confiar. Para ello, hemos proporcionado total transparencia sobre cómo gestionamos la seguridad en nuestra plataforma y organización. Para acceder a la documentación visita nuestro Centro de Confianza.