Digi Internacional
12 de mayo de 2017
¿Mi proveedor realiza pruebas de penetración?Las pruebas de penetración, también conocidas como pen testing, comprueban las vulnerabilidades que un atacante podría explotar en un dispositivo, red o aplicación web. Lo ideal es que los fabricantes de dispositivos se sometan a pruebas de penetración frecuentes (trimestrales) por parte de contratistas externos Y a pruebas de penetración ad hoc por parte de los clientes interesados.
¿Qué certificaciones de seguridad mantiene mi proveedor?Usted quiere ver una oficina de seguridad activa y un modelo de seguridad, no sólo de boquilla. Contar con una oficina de seguridad dedicada significa garantizar que las mejores prácticas de seguridad se incorporan al proceso de diseño de ingeniería. Este enfoque incorpora directrices y procesos aceptados que tienen en cuenta el diseño y las pruebas de los productos, como los definidos por organizaciones de terceros como la American Society for Quality/ Análisis modal de fallos y efectos; iSixSigma/DFMEA; ISO9001 SDLC, Penetration Testing Execution Standard y OWASP; así como normas emergentes como la Online Trust Alliance (OTA).
¿Cómo genera/debe generar mi proveedor verdaderos números aleatorios y almacenamiento seguro de claves?Un código secreto es tan bueno como el número aleatorio en el que se basa. Los ordenadores son intrínsecamente deterministas, así que ¿cómo pueden crear un número verdaderamente aleatorio? Los generadores de números aleatorios por hardware (TRNG) utilizan las propiedades aleatorias del mundo físico para crear números verdaderamente aleatorios basados en el ruido cuántico.
¿Cuándo se auditó a su proveedor por última vez, qué encontraron y qué hizo usted al respecto?¿Proporciona su proveedor servicios continuos de medición y supervisión de amenazas, así como la realización de auditorías de seguridad internas y externas de forma regular? Las auditorías periódicas garantizan la actualización de los parches de seguridad y proporcionan una comunicación proactiva continua sobre las próximas amenazas. Algunos marcos de seguridad del sector, como PCI DSS, exigen estas auditorías periódicas.
¿Qué nos costará esto?Como regla general, sólo debería pagar una cuota recurrente si el proveedor está haciendo una inversión recurrente. Por ejemplo, debería pagar una vez por un gran cortafuegos y debería pagar continuamente por la gestión continua de los dispositivos. Es una buena idea hacer una evaluación del coste total de propiedad entre diferentes proveedores. El coste total de propiedad de los competidores tiende a ser siempre mayor porque cobran por los servicios de seguridad o, peor aún, no los ofrecen.
>>Haga clicaquí para ver cómo integrar fácilmente la seguridad de los dispositivos, la identidad de los mismos y la privacidad de los datos con Digi TrustFence