“Provedores de ISP com os melhores interesses não se importarão de serem transparentes sobre as práticas de segurança para ajudar a garantir que tenha encontrado o aliado certo para necessidades de negócio”, diz Drew.
1. Como protege o acesso à gestão da infraestrutura crítica da companhia?
É imprescindível que os provedores de serviços separem sistemas de produção e dados de clientes dos ambientes de escritório e centros de dados dos empregados.
2. Quantos grupos de segurança diferentes tem o provedor para proteger sistemas? Todos usam a mesma abordagem?
Muitas organizações mantêm várias funções de segurança internamente. Isso pode causar conflitos de recursos, assim como diferentes abordagens na proteção da infraestrutura interna, um método que é altamente ineficiente e cheio de oportunidades para falhas.
3. Usa os mesmos serviços que vende para proteger os próprios sistemas?
Se o ISP não confia nos próprios produtos e serviços para proteger a infraestrutura e dados, por que o usuário deve confiar?
4. Como protege a rede de ataques como, por exemplo, ataques DDoS?
As organizações devem se assegurar de entender e se sentir confortáveis com a forma que o provedor pode proteger a infraestrutura de rede de ataques de geração de serviço (DDoS) distribuídos de tamanho grande.
5. Toma medidas ativas para identificar o tráfego “nocivo” na rede? Quais as ações para notificar as vítimas do ataque?
As organizações devem saber se o ISP monitora pessoas mal-intencionadas e conhecer as atividades perigosas na rede. Também é importante saber se o ISP bloqueia proativamente o tráfego nocivo na estrutura, se notifica as vítimas, como faz e em que prazo.
6. Se submete a auditorias regulares e mantém certificações?
É importante saber se o ISP mantém certificações reconhecidas pela indústria, como ISO 27001, SSAE16 ou ISAE 3402.
7. Criptografa as comunicações do data center que incluem dados do cliente?
É importante que as organizações façam com que o ISP explique os processos de acesso aos dados. Os dados devem estar criptografados dentro e entre os data centers do provedor.
8. Como fornece acesso remoto aos dados dos clientes para os funcionários e provedores?
Importante conferir as práticas recomendadas de supervisão de acesso e autenticação de identidade e senha.