As oito perguntas críticas sobre segurança que você deve fazer ao provedor ISP que utiliza.
Não há dúvida de que o cibercrime continua nas manchetes de todo o mundo.
No cenário digital, com ecossistemas de negócios hiper-conectados, quase não existe indústria, organização ou lugar no mundo que esteja a salvo de um ataque.
Por isso, não é surpresa que muitas companhias busquem proteção, incluindo os provedores de serviços de internet (ISP, na sigla em inglês);
Para resguardar a infraestrutura crítica.
Por causa do acesso único à informação sobre o tráfego de dados;
Os ISP estão posicionados para ajudar a reduzir o tráfego nocivo antes que haja a oportunidade de causar estragos nas redes das empresas.
Mas antes de escolher o provedor de ISP como a primeira barreira de defesa que protege a informação;
Dale Drew, chefe de segurança da Level 3 Communications;
Recomenda fazer oito perguntas cruciais a estas empresas para verificar como protegem sua infraestrutura e seus dados.
1. Como protege o acesso à gestão da infraestrutura crítica da companhia?
É imprescindível que os provedores de serviços separem sistemas de produção e dados de clientes dos ambientes de escritório e centros de dados dos empregados.
2. Quantos grupos de segurança diferentes têm o provedor para proteger sistemas?
Todos usam a mesma abordagem?
Muitas organizações mantém várias funções de segurança internamente.
Isso pode causar conflitos de recursos, assim como diferentes abordagens na proteção da infraestrutura interna;
Um método que é altamente ineficiente e cheio de oportunidades para falhas.
3. Usa os mesmos serviços que vende para proteger os próprios sistemas?
“Se o ISP não confia nos próprios produtos e serviços para proteger a infraestrutura e dados, por que você deve confiar neles para proteger os que possui?”;
Comenta o especialista da Level 3.
4. Como protege a rede de ataques como, por exemplo, ataques DDoS?
Drew recomenda que as organizações se assegurem de entender e se sentir confortáveis com a forma que o provedor pode proteger a infraestrutura de rede de ataques de geração de serviço (DDoS) distribuídos de tamanho grande.
5. Toma medidas ativas para identificar o tráfego “nocivo” na rede?
Quais ações toma, se houver, para notificar as vítimas do ataque?
De acordo com o executivo da Level 3, as organizações devem saber se o ISP monitora pessoas má intencionadas e conhece as atividades perigosas na rede.
“Também pergunte ao ISP se bloqueiam proativamente o tráfego nocivo na estrutura. Se notificam as vítimas, como fazem e em que prazo?”, comenta.
6. Se submete a auditorias regulares e mantém certificações?
É importante saber se o ISP mantém certificações reconhecidas pela indústria, como ISO 27001, SSAE16 ou ISAE 3402.
7. Criptografa as comunicações do data center que incluem dados do cliente?
Para o profissional da Level 3, é importante que as organizações façam com que o ISP explique os processos de acesso aos dados.
“Certifique-se de que os dados estejam criptografados dentro e entre os data centers do ISP.
E saiba se oferecem uma gama de recursos de criptografia que se adaptem às necessidades”, afirma.
8. Como fornece acesso remoto aos dados dos clientes para os funcionários e provedores?
Verifique as práticas recomendadas de supervisão de acesso e autenticação de identidade e senha.
Fazer essas perguntas não significa passar dos limites de um “bom” cliente.
“Provedores de ISP com os melhores interesses não se importarão de serem transparentes sobre as práticas de segurança para ajudar a garantir que tenha encontrado o aliado certo para necessidades de negócio”, diz Drew.
Fonte: http://www.netformation.com/level-3-pov/8-critical-security-questions-to-ask-your-isp