Todos los días, las organizaciones intercambian una cantidad considerable de archivos con múltiples participantes. Documentos como transacciones de pago u órdenes de compra, se envían a empleados, personal en puntos remotos, clientes, y socios comerciales. Estas transferencias son una parte esencial de cómo funciona el negocio.
Debido a que muchas veces esos archivos contienen información crítica, la transferencia de datos debe ser protegida. Documentos, e-mails y bases de datos, deben estar encriptados para limitar el riesgo asociado a un ataque, una filtración de datos o usos incorrectos. Las empresas necesitan evaluar las capacidades de su red y de su equipo de IT, para alcanzar el máximo nivel de protección. Además, necesitan cumplir con los requerimientos de normativas como PCI DSS, GDPR, HIPAA, o FISMA.
Frente a este escenario, ¿es posible que las empresas puedan optimizar cientos o miles de
transferencias de archivos y, al mismo tiempo, cumplir con las necesidades de sus socios comerciales, asegurar el cumplimiento regulatorio y prepararse para las auditorías?
Una opción puede ser una solución de Managed File Transfer, que ejecuta todas estas tareas, con el objetivo de facilitar la vida diaria de los profesionales de IT y Negocio, al centralizar la gestión y encriptación de transferencias de archivos.
Sobre esta guía
Encontrar la solución adecuada para su empresa no siempre es sencillo. Existen muchos detalles que debe considerar al momento de elegir el producto que funcione mejor para usted. Reducir sus opciones, buscar funcionalidades únicas, y evaluar el potencial de éxito en su entorno, son solo algunos ejemplos.
Esta guía busca limitar la información que necesitará para evaluar diferentes soluciones de Managed File Transfer. A continuación, encontrará consideraciones a tener en cuenta, incluyendo los temas que más preocupan a cada industria o regulaciones específicas, que lo ayudarán a tomar una decisión bien informado.
Leer el contenido de esta guía, no le llevará más de 30 minutos. Al finalizar, tendrá más claro lo que la tecnología Managed File Transfer puede hacer por su organización. Además, hemos incluido un listado de especificaciones, que le será de ayuda al comparar soluciones de diversos proveedores.
¿Tiene dudas? Escríbanos a [email protected] para que lo ayudemos.
¿Qué es Managed File Transfer?
Básicamente, una solución de Managed File Transfer (MFT, o "Transferencia Gestionada de Archivos") es un producto que engloba todos los aspectos de las transferencias internas y externas, utilizando protocolos de red y de encriptación estándares en la industria.
¿Qué significa la palabra “gestionada” ("managed") en Managed File Transfer? Hace referencia a cómo una solución puede automatizar y transferir datos a través de su red, sistemas, aplicaciones, socios comerciales, y entornos en la nube, desde un único punto central de administración.
Una solución de MFT puede ser utilizada por organizaciones de todos los tamaños para necesidades que van desde transferir una docena de archivos por semana, a miles por día. Además, puede reemplazar tecnología antigua, como las soluciones tradicionales de FTP que todavía se implementan en las empresas más allá del riesgo que significa que los datos que se envían sin encriptar; o procesos manuales como el uso de herramientas de PC y scripts legacy, que consumen mucho tiempo; así como las soluciones de acceso a archivos muy descentralizadas, haciendo difícil para el equipo controlar y gestionar los datos.
Conozca sus beneficios
Las tendencias en las empresas hacen que una solución de Managed File Transfer sea necesaria. Los empleados comparten un gran número de información a través de e-mails, y solo el 47% cree que sus empresas cuentan con políticas instaladas para compartir archivos. — “Seleccionar e implementar una solución de Managed File Transfer”
Reporte de Info-Tech Research Group
Muchas empresas trabajan arduamente para proteger los datos compartidos por sus clientes, socios comerciales y proveedores. Fácilmente, la información puede ser enviada a la persona equivocada, almacenada en el servidor equivocado, o compartida con una aplicación insegura. En base a estas preocupaciones, los equipos de IT buscan formas de minimizar los riesgos provenientes del intercambio de datos.
Una solución de MFT puede ayudarlo, al proporcionar los siguientes beneficios:
Local o en la nube
En el Informe de seguridad en la nube 2021 de Cybersecurity Insiders, se encontró que el 71% de las organizaciones están siguiendo una estrategia híbrida o multi-cloud. Con solo el 27% de las empresas que dependen de una única implementación cloud y el 76% de las organizaciones que utilizan dos o más proveedores cloud, la nube está creciendo en popularidad a un ritmo rápido.
Sin embargo, los entornos de múltiples nubes a menudo agregan complejidades y desafíos de seguridad que deben abordarse de manera efectiva. Como resultado, los proveedores de MFT trabajan duro para asegurarse de que las organizaciones tengan la flexibilidad que necesitan para cumplir con sus requisitos de negocio. Esto incluye la capacidad de trabajar en múltiples entornos, desde las instalaciones locales a la nube, pasando por un entorno alojado (SaaS) o un punto intermedio (híbrido). Algunos ofrecen versiones en la nube de la solución MFT junto con entornos alojados por proveedores.
Determine en qué entorno planea integrar su solución de MFT antes de comenzar la búsqueda. No tenga miedo de preguntar cómo una solución funciona en el entorno elegido, ni verificar si es difícil migrar, en caso de que comience en un entorno local y luego quiera moverse a la nube, o viceversa.
Requerimientos específicos por industria
¿Cuál es su industria? Tener en mente las necesidades específicas de cada industria al evaluar las soluciones de MFT hará que el proceso de decisión sea mucho más fácil, ya que podrá rápidamente identificar lo que funcionará y lo que no. Para comenzar, estos son algunos requerimientos que debe considerar para las siguientes industrias:
Salud
Las organizaciones de salud necesitan asegurar sus datos ePHI y proteger los archivos que son transferibles y accesibles por otras ubicaciones y departamentos. Las soluciones de MFT que evalúe deben segmentar usuarios, proporcionar potentes métodos de autenticación, ofrecer una auditoría detallada y generación de reportes para las regulaciones internacionales de protección de datos (como GDPR o HIPPA), y coordinar los datos de los pacientes con oficinas remotas.
Logística
Las empresas de distribución y almacenamiento deben ser capaces de automatizar el intercambio de órdenes y documentos EDI con sus socios comerciales. Managed File Transfer puede ayudarlos fácilmente a alivianar esta carga, al asegurar los datos para SOX 404 y 409, mantener los registros para 21 CFR Parte 1.236-1.368, cumplir con las regulaciones FTC para control de impuestos e inventario, generar registros de auditoría, y controlar el acceso a documentación sensible.
Educación
Las instituciones educativas deben proteger la información confidencial de los estudiantes, dentro de la Universidad y en el intercambio con terceros. Managed File Transfer puede ayudarlas a cumplir con FERPA, PCI DSS, GLBA, FISMA, e HIPAA, así como proteger los datos de los estudiantes, a través de la encriptación, registros detallados de auditoría, administración centralizada de usuarios, y refuerzo de las políticas de contraseñas.
Seguros
Las empresas de seguros deben cumplir con severas regulaciones y encontrar la forma de simplificar y automatizar los datos que intercambian con sus socios comerciales. Una solución adecuada de MFT las puede ayudar a cumplir con SOX, GLBA, HIPAA, y HITECH; asegurar los datos para cumplir con la Dodd-Frank Act; mantener la integridad de los archivos en movimiento para OIG, Medicare, y Medicaid; y transferir datos para procesos ETL y migraciones, y más.
Banca y Finanzas
Las instituciones bancarias y financieras entienden la importancia de proteger su información confidencial. Una solución de MFT lo ayudará a cumplir con PCI DSS y GLBA; crear registros, auditar, obtener los requisitos de Basel III; asegurar la privacidad de la información para SOX 404 y 409; y proteger los datos en movimiento y en reposo para la Dodd-Frank Act.
Manufactura
La manufactura de productos suele requerir el intercambio seguro de archivos de datos entre departamentos, socios comerciales y, a veces, entidades de gobierno. Cualquier solución MFT que considere debe proteger sus datos para cumplir con SOX 404 y 409, mantener registros para 21 CFR Parte 1.236-1.368, cumplir con la regulación FTC para control de impuestos e inventario, generar registros de auditoría y controlar el acceso a documentación sensible.
Sector Público
Las agencias de gobierno afrontan severas regulaciones y políticas de Seguridad. Además de permitir el cumplimiento de los requisitos de FIPS 140-2, SOX, GLBA, PCI DSS, e HIPAA, los organismos del sector público también son sensibles a FISMA, una regulación que requiere crear, documentar e implementar un plan para garantizar la protección de sus sistemas de información. La solución correcta de MFT puede ayudarlo con esto, y más.
Retail
Escalar instancias de robo de datos enfatiza la necesidad de las organizaciones de retail de proteger los datos personales de sus clientes y la información de tarjetas de crédito. Managed File Transfer puede ayudar a estas empresas a cumplir con PCI DSS, SOX y FTC, implementar políticas internas y controlar el acceso a documentos con una configuración de Seguridad de nivel empresarial (como roles de usuario o de grupo).
Seguridad Informática y defensa de filtraciones de datos
Con el incremento de casos de filtraciones de datos en las distintas industrias, los equipos de IT están enfocados en implementar prácticas más potentes de Seguridad Informática dentro de sus organizaciones. La rigurosidad con la que miran las aplicaciones de terceros, software y redes, es más intensa que nunca, así como lo es la necesidad de prácticas de encriptación apropiadas.
Al evaluar una solución de Managed File Transfer, considere qué le ofrece cada proveedor en términos de Seguridad y defensa de filtraciones de datos. Asegúrese de que le dan a la Seguridad la importancia que merece y pregunte cómo trabajarán con usted para proteger la información sensible que usted comparte diariamente.
Estas son algunas de las preguntas por las que debería comenzar:
- ¿Qué tipo de estándares de encriptación soporta?
- ¿Utiliza el cifrado de encriptación FIPS 140-2?
- ¿Puedo autenticar usuarios en base a LDAP o Active Directory?
- ¿Puedo segmentar a mi organización en múltiples zonas de Seguridad?
- ¿Puedo definir distintos permisos para separar funciones?
- ¿Puedo realizar autenticación multi-factor?
- ¿Puedo restringir usuarios a directorios o sub-carpetas específicas?
- ¿La solución ofrece notificaciones (vía e-mail y/o SMS) para fallos de login, archivos rechazados y otras actividades irregulares?
- ¿La solución registra todos los eventos de usuario y actividades de archivos?
- ¿Puedo generar reportes de gestión de la actividad de mis socios comerciales?
- ¿Bloqueará la solución ataques de fuerza bruta y DoS?
Funcionalidades claves de MFT
Existen múltiples soluciones de MFT en el mercado. ¿Cómo determinar cuál es la mejor para su empresa? Cuando tenga que analizar sus opciones, estas son algunas de las funcionalidades que debe buscar.
Cree un listado de requerimientos
Una vez que haya identificado las funcionalidades que puede tener una solución de MFT y tenga una idea de qué necesita su empresa en términos de implementación, industria y Seguridad Informática, le resultará útil crear un listado de requerimientos que pueda consultar fácilmente al momento de evaluar las distintas soluciones de MFT.
Este puede ser un ejemplo de un listado de requerimientos:
Consejo útil:
Si tiene alguna pregunta sobre estos ítems, contacte al equipo de soporte de su proveedor o a su representante comercial. Preste atención a su tiempo de respuesta y a qué tipo de respuestas le ofrece. Un proveedor que sea de ayuda durante el período de evaluación será de igual ayuda después de la compra.
Liste sus requisitos de cumplimento
La solución de MFT que está evaluando, puede parecer perfecta en la superficie, pero debe asegurarse de que también alcance sus requisitos de cumplimiento.
Vea qué recursos le ofrece la solución en materia de cumplimiento. ¿Tiene datasheets, listados que le sirvan de guía o un documento de Preguntas Frecuentes, que describa cómo el producto ayuda a las organizaciones a cumplir con los requerimientos de ciertas regulaciones?
Tenga cuidado con aquellos proveedores que señalen a su solución de MFT como “Certificada en …” por ejemplo, HIPAA o GDPR. La mayoría de las regulaciones no ofrece certificaciones. Es más, un proveedor nunca puede garantizar que su producto determine el cumplimiento de su organización, ellos solo pueden ayudarlo a tomar los pasos necesarios en ese sentido.
En última instancia, la responsabilidad de estar y mantenerse en cumplimiento depende de usted y de su organización.
Determine su presupuesto
Las soluciones de Managed File Transfer vienen en todos los tamaños y paquetes, desde pequeñas y gratuitas herramientas de FTP, hasta soluciones de nivel empresarial que cuestan cientos de miles de dólares.
Al momento de determinar cuánto quiere gastar en su solución de MFT, considere qué está incluido en el precio, y qué no. Algunas de las preguntas que puede hacer a su Asesor Comercial, son:
- ¿Puedo licenciar módulos específicos?
- ¿Existen descuentos para licencias de cluster y balanceo de carga?
- ¿Hay descuentos en las licencias que no son de producción?
- ¿Puedo alquilar el software?
- ¿Ofrecen licencias basadas en usuario (o proveedor), o para usuarios y proveedores ilimitados?
Más allá de las licencias de software iniciales, la mayoría de los compradores adquieren un paquete anual de soporte y mantenimiento, para poder realizar actualizaciones a las últimas versiones de producto tan pronto como esté disponible.
También considere cualquier inversión adicional que quiera realizar sobre el producto, como servicios profesionales (por ejemplo, asistencia para migración e implementación, capacitación de software, etc.) o incorporar módulos que expanden lo que puede hacer con su solución de MFT.
Calcule el ROI de la solución
Más allá de su capacidad para asegurar y automatizar las tareas de transferencias de archivos, uno de los aspectos más atractivos de implementar una solución de MFT es su Retorno de Inversión (ROI). Las variaciones que pueda tener el ROI, así como lo que puede ahorrar, dependerán de su proveedor y del producto.
Al evaluar soluciones, vea si el proveedor tiene una herramienta de ROI o recursos que puedan calcular cuánto puede ahorrar su empresa después de reemplazar sus productos legacy, transferencias de archivos manuales y scripts, y flujos de trabajo internos.
En general, MFT puede ayudar a los equipos de IT al:
- Responder rápidamente a nuevos requerimientos de Seguridad, sin generar trabajo adicional
- Ahorrar tiempo al eliminar procesos arduos, como la generación de scripts y programación
- Crecer junto a las necesidades de la empresa, a medida que los requisitos de datos se vuelven más complejos.
- Evitar interrupciones de sistemas no planificadas e innecesarias, manteniendo activas las transferencias de archivos.
- Escalar con cualquier nodo, sistema y red que se incorpore al entorno a lo largo del tiempo.
Vea cuánto dinero puede ahorrar con una solución de MFT utilizando esta sencilla herramienta de ROI.
Lea los comentarios sobre MFT
A esta altura, seguramente ya ha completado el listado de requisitos, marcado qué funcionalidades son importantes para usted, determinado cuánto puede invertir, y comparado esto con sus potenciales soluciones de MFT.
Una vez que haya pre-seleccionado sus candidatos, busque lo que los usuarios están diciendo sobre ellos. ¿Están contentos con la solución de MFT que usted está considerando? ¿Cuáles consideran que son las fortalezas y las debilidades del producto? Preste especial atención a las contras que mencionan los usuarios. ¿Existe alguna tendencia entre los comentarios? ¿Hay algún factor decisivo para usted que se perciba de forma negativa?
Algunas webs útiles con reseñas de software de MFT son:
Solicite una demostración o una prueba
Después de leer las reseñas, decida para qué soluciones desea solicitar una demostración o prueba. Elegir una demostración o prueba (o ambas) depende completamente de la cantidad de tiempo del que disponga durante el período de evaluación.
Una demo es una reunión personal en vivo con los expertos en el producto del proveedor. Generalmente dura una hora, lo que le da tiempo para hacer cualquier pregunta que tenga que no haya sido respondida en sus investigaciones previas. También le permite al vendedor mostrarle las áreas del producto que le interesan especialmente, para poder ver la solución en acción.
Una prueba es un período de 14 a 30 días que le permite usar el producto y ver cómo funciona, cuánto tiempo lleva configurar una transferencia de archivos, cómo se ve el proceso de encriptación y más. Una prueba es más práctica que una demostración, permitiéndole explorar las funcionalidades en sus propios sistemas. Esto es a menudo lo que lleva a los profesionales a pasar de "considerar la compra" a "invertir en comprar".
¿Cómo enfocar demos y pruebas?
Para evitar ser abrumado con diferentes detalles de la solución, recomendamos primero programar una demostración con dos o tres de las mejores opciones. Configurar una prueba en su entorno puede llevar mucho tiempo; una demostración lo ayudará a determinar qué soluciones parecen ser las mejores para su organización.
Una vez que haya reducido sus opciones a uno o dos proveedores, use el período de prueba para configurar algunas transferencias de archivos, probar los métodos de encriptación y asegurarse de que la solución funcione para usted.
Estudie los recursos del proveedor
Finalmente, tómese un tiempo para explorar los recursos de MFT del proveedor. Los buenos recursos, como la documentación en línea y los videos de entrenamiento, le indican que el proveedor no solo está enfocado en desarrollar un software potente, sino que también está preocupado en ayudarlo a comprender todo lo que el producto puede hacer por su organización.
Busque materiales como estos. Deberían ser fáciles de localizar:
- White papers
- Videos de producto
- Formularios de soporte
- Recursos de formación
- Grabaciones de webinars
- Casos de estudio y testimonios de usuarios
- Un blog con información útil y actualizada
- Documentación del producto (guías del usuario, artículos de soporte, etc.)
Conecte con otros usuarios
¡Felicidades! Ha comprado con éxito una solución MFT. Una vez que el software esté funcionando en su entorno, puede pensar que el proceso ha terminado... pero no tiene por qué ser así.
Si desea maximizar su nueva inversión, considere ponerse en contacto con otros clientes con preocupaciones afines a las suyas que usen MFT o el proveedor elegido.
Algunos proveedores ofrecen un portal para clientes que brinda acceso a foros de la comunidad, donde puede intercambiar ideas con otros clientes sobre dudas que pueda tener, sugerir mejoras y funcionalidades que le gustaría ver en el producto, y compartir cualquier plantilla o flujo de trabajo que cree.
También puede conocer cómo otros han abordado proyectos específicos de MFT en sitios web como:
Reciba capacitación y servicios del producto
Algunos proveedores de MFT ofrecen capacitación y servicios profesionales sobre el producto, tanto en línea como localmente. Al elegir una solución MFT, vea si el proveedor ofrece capacitación y servicios para ayudar a su equipo a dominar la solución y ponerla en producción de manera oportuna
La capacitación debería brindarle un conocimiento profundo de la solución. Cuando solicite detalles sobre la capacitación, considere formularle al proveedor las siguientes preguntas:
- ¿Los costos de capacitación son los mismos, independientemente de cuántas personas asisten a la sesión?
- ¿El entrenamiento es interactivo o demostrado por el formador?
- ¿Hay temario del curso que pueda revisar antes de comprar las sesiones?
- ¿Se puede personalizar lo que se cubrirá en la capacitación?
Los Servicios Profesionales generalmente brindan servicios de integración, desarrollo y consultoría. Si no cuenta con los recursos necesarios para implementar la solución, o si desea que el proveedor lo ayude con la migración a la nueva solución, asegúrese de
preguntar al proveedor si esos servicios están disponibles.