Cloudflare ha estado vinculado a la seguridad de los clientes a nivel mundial desde su fundación. Nuestros servicios no solo protegen el tráfico y los datos de los clientes, sino también los nuestros, y seguimos mejorándolos y ampliándolos para responder al panorama de amenazas de Internet en constante evolución. Como prueba de que el compromiso es un proyecto pluridimensional, nuestro equipo de seguridad se centra en las personas, la validación y la transparencia para garantizar que cada punto de contacto con nuestros productos y nuestra empresa sea fiable.
Personas
La experiencia del equipo de seguridad es amplia y vanguardista. Trabajar como equipo de seguridad en una empresa de seguridad significa tener un perfil muy técnico y diverso, estar dispuesto a probar todos y cada uno de nuestros productos, e intercambiar nuestros conocimientos con las comunidades locales y globales en grupos del sector y conferencias en todo el mundo. El contacto con nuestros clientes y homólogos en reuniones y conferencias nos permite poner en común los problemas, conocer las próximas tendencias del sector e intercambiar opiniones para mejorar la experiencia del cliente. Además de ejecutar para Cloudflare un programa de seguridad formalmente documentado y basado en los riesgos, los miembros del equipo promueven mejoras continuas en nuestros equipos de producto e infraestructura mediante la revisión y el asesoramiento sobre los cambios, la identificación y el procesamiento de vulnerabilidades, el control de la autorización y el acceso a los sistemas y los datos, el cifrado de los datos en tránsito y en reposo, y la detección y respuesta a amenazas e incidentes.
Validación
Las afirmaciones sobre nuestras capacidades de seguridad están muy bien, pero ¿cómo puede un cliente estar seguro de que hacemos lo que decimos? Lo hacemos sometiéndonos a varias auditorías al año, que demuestran que nuestras prácticas de seguridad cumplen las normas del sector. Hasta la fecha, Cloudflare ha evaluado y mantenido de forma periódica la conformidad con los requisitos PCI DSS (como vendedor y proveedor de servicios), SOC 2 Tipo II, ISO 27001 e ISO 27701. Independientemente del lugar del mundo en el que se encuentren nuestros clientes, es probable que necesiten contar con al menos una de estas normas para proteger la información de sus clientes. Asumimos la responsabilidad de ser el pilar de esa confianza.
Dado que la cartera de clientes de Cloudflare sigue creciendo en sectores más regulados con requisitos complejos y rigurosos, hemos decidido evaluar nuestra red global según tres normas adicionales este año:
- FedRAMP: programa de administración de autorizaciones y riesgos federales de Estados Unidos que evalúa nuestros sistemas y prácticas con respecto a la norma de protección de los datos de las agencias estadounidenses en entornos de informática en la nube. Cloudflare aparece en el programa FedRAMP como "En proceso" de autorización en un nivel de impacto moderado. Estamos en la última fase para concluir el informe de evaluación de seguridad de nuestros auditores y vamos camino de recibir la autorización para operar en 2022.
- ISO 27018: examina nuestras prácticas para proteger la información de identificación personal (PII) como proveedor de soluciones en la nube. Esta ampliación de la norma ISO 27001 garantiza que nuestro sistema de gestión de seguridad de la información (SGSI) gestiona los riesgos asociados al procesamiento de la PII. Hemos completado la evaluación de terceros, y esperamos recibir nuestra certificación el mes que viene.
- C5: catálogo de controles de conformidad de informática en la nube de la Oficina Federal de Seguridad de la Información (BSI) en Alemania. Es una validación conforme al nivel de seguridad básico definido para la informática en la nube. Cloudflare está actualmente en fase de examen de auditores externos. Consulta nuestra trayectoria aquí.
Transparencia
Nuestro compromiso con la seguridad de nuestros clientes y nuestro negocio implica un alto grado de transparencia. Durante el proceso de control de un incidente de seguridad, nuestro plan de respuesta no solo incluye a los equipos de soporte jurídico, conformidad y comunicaciones para determinar la estrategia de notificación, sino que también comenzamos a perfilar una visión detallada de cómo estamos respondiendo, incluso si todavía estamos en el proceso de corrección del incidente.
Sabemos de primera mano lo frustrante que puede ser que tus proveedores de servicios críticos se queden al margen durante un incidente de seguridad y no proporcionen más que una breve respuesta legal que no revela cómo se vieron afectados por la vulnerabilidad o el incidente de seguridad. En Cloudflare, la transparencia está en nuestro ADN. Puedes comprobarlo en los blogs (Incidente de seguridad en Verkada, Log4j) que escribimos y en la rapidez con la que mostramos a nuestros clientes cómo hemos respondido y lo que estamos haciendo para solucionar el problema.
Una de las preguntas más frecuentes que recibimos de nuestros clientes cuando ocurre un incidente es si los servicios de nuestros proveedores se han visto afectados. Las vulnerabilidades de la cadena de suministro, como Solarwinds y Log4j, nos han llevado a crear competencias, como consultas automatizadas, para todos nuestros proveedores de servicios críticos. Durante la fase de contención de nuestro proceso de respuesta a incidentes de seguridad, nuestro equipo de riesgos de terceros es capaz de identificar de inmediato a los proveedores afectados y priorizar a nuestros proveedores de producción y seguridad. Nuestras herramientas nos permiten activar las consultas a terceros de manera instantánea, y nuestro equipo se incorpora al proceso de respuesta a incidentes para garantizar una comunicación eficaz. Toda la información que recibimos de nuestros proveedores, la compartimos con nuestros foros de conformidad de la seguridad para garantizar que otras empresas que también realizan consultas a sus proveedores no tengan que duplicar su trabajo.
Valor
El objetivo de estas auditorías y evaluaciones recurrentes no es solo conseguir insignias para sitios web. Nuestro equipo de seguridad no proporciona datos solo para pasar las auditorías. Nuestro proceso incluye identificación de riesgos, creación de controles y procesos para abordar esos riesgos, funcionamiento continuo de esos procesos, evaluación de la eficacia de (en forma de auditorías y pruebas internas y externas) esos procesos, y realización de mejoras en el SGSI basadas en esas evaluaciones. A continuación, resumimos los aspectos de nuestro proceso que nos distinguen:
- Muchas empresas no se ponen en contacto con los proveedores ni incorporan este proceso a sus procedimientos de respuesta a incidentes. En el caso de Log4j, nuestro equipo de seguridad de proveedores se comunicaba con el equipo de respuesta y proporcionaba actualizaciones periódicas sobre las respuestas de los proveedores tan pronto como se identificaba el incidente.
- Muchas empresas no se comunican proactivamente con los clientes como lo hacemos nosotros. Nos comunicamos incluso cuando no estamos legalmente obligados a hacerlo porque creemos que es lo correcto, independientemente de los requisitos.
- Las herramientas de este ámbito tampoco suelen ser lo suficientemente flexibles como para enviar rápidamente cuestionarios personalizados a los proveedores. Nuestra capacidad de automatización nos permite enviarlos en masa de inmediato y adaptar las preguntas a las vulnerabilidades en cuestión.
El último paso es comunicar a nuestros clientes los resultados de nuestra postura de seguridad. Todos nuestros clientes pueden descargar nuestras certificaciones de seguridad y los resultados de la evaluación en sus paneles de control de Cloudflare, o pueden solicitarlo a su equipo de cuenta. Para obtener la información más reciente sobre nuestras certificaciones e informes, visita nuestro Centro de confianza.