"Es muy difícil encontrar una buena ayuda en estos días", es algo que cada vez más empresas dicen cuando buscan talento para la seguridad cibernética. Se estima que el 80% de las organizaciones enfrenta una escasez de trabajadores que se especializan en ciberseguridad. Las razones de esta brecha son variadas, incluido el hecho de que las nuevas tecnologías como la computación en la nube y los dispositivos IoT requieren diferentes protocolos de seguridad en los que las personas podrían no estar capacitadas. Además, los sistemas informáticos más complejos pueden requerir mucho más personal del que una empresa puede razonablemente alquiler. Es por eso que muchos están subcontratando la totalidad de sus procesos de seguridad cibernética a empresas externas en el extranjero.
Sin embargo, el problema es que cuando su empresa externaliza su seguridad cibernética a otra empresa, debe darles mucho acceso. Esa empresa tendrá control de los datos y la información confidencial de sus clientes. En algunos casos, incluso pueden tener acceso al código fuente propietario. Existen riesgos significativos y existen más de unas pocas historias de terror de estos contratos de outsourcing que salen muy mal. Para evitar esto, su empresa necesita practicar una verificación extrema no solo de las personas con las que trabaja, sino también de las empresas a las que externaliza.
Cuando la subcontratación va mal
En 2002, una La empresa CAD / CAM eligió externalizar su seguridad de TI a la India. Como precaución, la compañía exigió que todos los empleados involucrados en el contrato firmen acuerdos de confidencialidad. Entonces, cuando algunos empleados descontentos despegaron con su código fuente, pensaron que estaban cubiertos. Como resultado, no lo fueron. En la India, esos contratos de confidencialidad no eran ejecutables. No había ninguna ley en el país en ese momento con respecto al robo de propiedad intelectual. En consecuencia, la compañía tuvo que pasar por muchos obstáculos para evitar que esos empleados vendieran su código fuente, la parte más importante de su negocio, en el mercado abierto.
Si está subcontratando a empresas de terceros, es algo que debe tener en cuenta. Los acuerdos de confidencialidad que tiene que firman esas otras compañías a menudo no se pueden hacer cumplir. Eso significa que si los empleados de esa compañía eligen vender sus datos, tendrá poco o ningún recurso.
Su única opción es ser proactivo. La seguridad de sus datos es de suma importancia, pero cuando pone esa seguridad en manos de terceros, corre un riesgo realmente grande. Para reducir ese riesgo, hay algunas precauciones que debe tomar. Lo que es más importante, debe practicar la verificación extrema a nivel empresarial.
Cómo funciona la evaluación profunda para las entidades
Cuando comience el proceso de propuesta para encontrar un proveedor externo de seguridad de TI, lo más probable es que primero se concentre en las ofertas más bajas. Eso es un error A menudo, cuando llega una oferta baja de un subcontratista, la única forma en que pueden permitirse trabajar por lo que han ofrecido es cortar muchas esquinas.
En su lugar, desea ver las empresas que se vuelven más transparentes. La propuesta que envíen no debe basarse simplemente en una vaga idea de dónde se almacenarán sus datos y la cantidad de empleados que trabajan con esos datos. Esta propuesta también debe ofrecerle información detallada sobre los clientes potenciales del equipo para su cuenta, incluidos los currículums. Cuando encuentras la empresa que te gusta, no es solo cuestión de aceptar su propuesta. En su lugar, debe solicitar más información.
Esa información debe incluir la información de cada persona que tendrá acceso a sus datos confidenciales. Además, debe saber exactamente dónde se encuentran los servidores que alojan sus datos. Esto le permite comenzar una investigación extrema de esa compañía, porque ha dividido su proyecto principal en varias partes.
Ahora es el punto donde la mayoría de las empresas que externalizan sus datos de terceros simplemente les pedirá a esos empleados individuales que firmen acuerdos de confidencialidad. Pero este es realmente el punto en el que debe centrarse en el uso de herramientas como la Evaluación remota de riesgos (RRA) para asegurarse de que su proceso de investigación de antecedentes sea realmente tan completo como sea necesario.
Uso de RRA para la verificación extrema de entidades
El problema que la mayoría tiene con la investigación extrema de entidades es el de la amenaza individual. Una empresa puede tener una reputación increíble, pero existe la posibilidad de que uno de los cientos de empleados que trabajen en su cuenta no lo sea. ¿Es posible ejecutar verificaciones de antecedentes de cada uno de esos empleados? No, y la responsabilidad de esas verificaciones de antecedentes no debería recaer en usted, pero ciertamente puede insistir en una investigación profunda de los empleados que trabajarán en su cuenta. Para que eso funcione, necesitará una tecnología automatizada y fácil de entregar que le brinde resultados altamente precisos, precisamente lo que es RRA.
Para gestionar la contratación de un tercero a nivel individual, debe observar las prácticas de contratación propias de la empresa. Si hacen verificaciones de antecedentes y financieras, entonces tienes un buen comienzo. Pero puedes ir un paso más allá con RRA.
Con RRA, puede evaluar el riesgo de los empleados de terceros con una entrevista corta y automatizada, tomada por teléfono. A esos empleados se les puede hacer preguntas afirmativas o negativas que sean importantes para usted, como "¿Alguna vez ha vendido datos de la empresa a un tercero?" Su respuesta se analiza utilizando tecnología patentada y, si se indica el riesgo, el archivo se puede marcar para una investigación más profunda.
Este proceso lo ayudará a desarrollar un mapa de riesgo de riesgos donde se encuentran los empleados de mayor y menor riesgo. Se puede rechazar un acuerdo con una organización de alto riesgo, mientras se pasa a proveedores externos de menor riesgo que mantendrán segura su información.
Clearspeed ofrece RRA como una solución para las empresas que trabajan con proveedores extranjeros porque sabemos que, en muchos casos, las leyes de esos países pueden no protegerlo a usted ni a sus datos. La única forma de proteger realmente la información confidencial de su empresa es ser proactivo mediante la implementación de una investigación extrema de las empresas de terceros con las que decide trabajar. Para obtener más información sobre cómo RRA puede reducir su riesgo al utilizar proveedores externos, póngase en contacto con nosotros.