Seguridad: Política y procedimientos

Abril de 2022

La seguridad de los datos es la base sobre la cual se construyen la privacidad y las normativas. En el Centro de confianza, explicamos las políticas y los procedimientos de seguridad de datos que rigen la forma en que gestionamos la seguridad de nuestros propios sistemas y los datos que nos confían nuestros clientes.

NetApp cumple los requisitos de las leyes de seguridad de datos globales que exigen medidas de seguridad razonables para almacenar, transmitir y procesar los datos. Tomamos medidas que están ampliamente reconocidas como parte integral de una seguridad adecuada, incluidos el cifrado, la autenticación y los controles de autorización, la notificación de infracciones, la prevención de la pérdida de datos y la gestión de revisiones.

NetApp ofrece una amplia gama de soluciones de cifrado, así como la gestión de claves de cifrado. Entre otras medidas cuenta con numerosas estrategias y herramientas que ayudan a tu organización a mantenerse resiliente frente a las amenazas de ransomware, y estrictas políticas de retención y eliminación de datos que respaldan la minimización de datos. Los investigadores de seguridad de NetApp trabajan diligentemente para detectar y mitigar los ataques de errores de software y vulnerabilidades de seguridad, y poder responder ante ellos.

NetApp implementa estas medidas de seguridad para proteger sus sistemas de información y los datos que se encuentran almacenados en ellos. Asimismo, siguiendo el modelo de responsabilidad compartida, también ofrecemos estrategias, herramientas y servicios que permitan a nuestros clientes hacer lo mismo.

Cuando una organización se transforma desde una infraestructura on-premises a una infraestructura de nube híbrida, privada o pública, compartir la responsabilidad con el proveedor de servicios de nube en cuestiones de seguridad de los datos resulta clave para este cambio radical. El modelo de responsabilidad compartida aborda qué partes de este entorno de computación en la nube se encargan de gestionar la seguridad de los datos: su confidencialidad, integridad y disponibilidad.

NetApp, como proveedor de servicios, es responsable de las operaciones seguras de los servicios en la nube de NetApp, como la seguridad física de los centros de datos de NetApp y la aplicación de revisiones en vulnerabilidades de nuestras soluciones SaaS. 

Tú, como cliente nuestro, puedes ser responsable de las operaciones seguras en la nube, lo que incluye garantizar que se habiliten políticas corporativas, como la complejidad de las contraseñas, y que se apliquen en las implementaciones virtuales de la misma forma que se hace on-premises.

NetApp también ofrece una selección de proveedores de infraestructura de nube para partners, incluidos Amazon Web Services, Microsoft Azure y Google Cloud, que gestionan las operaciones seguras de sus ofertas.

Las leyes de privacidad internacionales exigen medidas de seguridad razonables para almacenar, transmitir y procesar información personal. En Estados Unidos, la seguridad razonable es un requisito legal para determinadas clasificaciones de información, como datos financieros, sanitarios y otros datos personales. Sustenta las leyes que rigen las prácticas empresariales justas, así como las leyes de privacidad fuera de Estados Unidos, como el RGPD de la UE. 

Aunque no existe un estándar definido ni un conjunto de control de ingeniería que se adhiera a una seguridad razonable, los organismos reguladores y los tribunales reconocen ciertas medidas como parte integral de esta. Estas medidas incluyen controles de cifrado, autenticación y autorización, la notificación de infracciones, la prevención de la pérdida de datos y la gestión de revisiones.

NetApp implementa estas medidas de seguridad para proteger sus sistemas de información y sus datos almacenados, y también crea productos y servicios que ofrecen a nuestros clientes todo lo que necesitan para hacer lo mismo.

Los ataques de ransomware, una amenaza para la seguridad de la organización y la disponibilidad de datos, resultan más costosos que el precio que se pide por el rescate. También se deben considerar los costes de recuperación, la interrupción operativa y la pérdida de ingresos, las posibles implicaciones legales e incluso la pérdida de valor de la marca. 

Las estrategias de respuesta al ransomware son cruciales para prepararse para esos ataques, y los planes de continuidad empresarial que incluyen el backup y la recuperación de datos pueden ser decisivos a la hora de reducir el impacto de un ataque de ransomware. Los backups viables, aislados de un bucle de ataques de ransomware, son un componente clave, y la optimización de los objetivos del punto de recuperación a puntos de datos no infectados ayuda a proteger contra la reinfección de los sistemas. 

Como líder global en almacenamiento de datos, NetApp ofrece una amplia gama de estrategias, herramientas, y servicios con los que tu organización puede resistir frente a amenazas de ransomware, mitigar las acciones de recuperación y reducir el tiempo de recuperación.

Las vulnerabilidades de seguridad están ampliamente reconocidas en todo el sector tecnológico, además de por empresas y organizaciones de todo el mundo. NetApp ha abordado las vulnerabilidades de seguridad mediante el establecimiento de un ciclo de vida de desarrollo seguro (SDL). El SDL de NetApp es un proceso repetible de 6 pasos destinado a desarrollar software seguro basado en las prácticas recomendadas y normas del sector. Proporciona un marco de trabajo y un proceso para ayudar a los equipos de producto a evaluar y responder a posibles vulnerabilidades de seguridad durante el desarrollo de todos los productos y servicios de NetApp.

La estricta formación en seguridad y la designación de expertos en seguridad sientan las bases del SDL. El proceso de SDL en sí comienza con una evaluación de la seguridad y la publicación de las planificaciones del cumplimiento normativo y las pruebas. A todo ello le sigue una evaluación exhaustiva de las vulnerabilidades de seguridad de los productos, la implementación de soluciones y la validación de la resolución para las vulnerabilidades que se han identificado. Termina con procedimientos de comunicación y la supervisión a través de un equipo de respuesta a incidentes de seguridad de los productos (PSIRT).

Las revisiones suelen publicarse para abordar problemas conocidos en el software o en los datos, como un error de software o una vulnerabilidad de seguridad. Los investigadores de seguridad de NetApp trabajan a conciencia para proteger nuestros productos y servicios. Participan en comunidades de seguridad que rastrean las vulnerabilidades publicadas. También gestionan un programa a través del cual clientes e investigadores externos a estas comunidades envían información relacionada con posibles vulnerabilidades de seguridad. NetApp puntúa y hace un seguimiento de estos envíos de acuerdo con nuestra política de gestión de vulnerabilidades y publica revisiones regularmente a través de las notificaciones de seguridad.

La gestión de estas revisiones es una parte integral de las medidas de seguridad razonables que se necesitan para proteger tus redes y datos. Las operaciones de gestión de vulnerabilidades y revisiones de NetApp también se han diseñado para dar soporte a clientes de todas las posiciones dentro del modelo de responsabilidad compartida.

El cifrado está ampliamente reconocido como parte fundamental en la seguridad de la información personal. Algunas normativas, como la publicación 1075 del IRS de EE. UU., exigen que cierta información se cifre mediante tecnología específica mientras los datos están en reposo o en tránsito. Otras normativas, como el RGPD de la UE y la Ley de privacidad de los consumidores de California (California Consumer Privacy Act, CCPA), no exigen el cifrado, pero reconocen el importante papel que desempeña a la hora de mitigar las filtraciones de datos que implican información personal.

NetApp ofrece varias soluciones de cifrado, entre las que se incluyen el cifrado de hardware y software, tanto a nivel de volumen como de disco, así como la gestión de claves de cifrado para administrar las claves utilizadas para cifrar y descifrar datos.

Un principio fundamental de la seguridad de los datos es que las organizaciones no deben recopilar ni retener más información personal de la necesaria y que los datos deben eliminarse una vez que dejan de ser necesarios para los fines autorizados. Este principio de minimización de datos reduce la complejidad del cumplimiento normativo y protege los datos frente a posibles daños en caso de producirse una vulneración de la seguridad. 

El método de minimización de datos más común consiste en promulgar y aplicar políticas de eliminación y retención de datos que indiquen qué información debe conservar una empresa, durante cuánto tiempo, y cuándo y cómo eliminarla.

Las propias políticas de eliminación de datos de NetApp respaldan la minimización de los datos que están almacenados en las unidades que devuelven los clientes: se indica a los clientes que eliminen, cifren o conviertan en irrecuperables todos los datos que estén almacenados en los medios devueltos antes de devolverlos.