Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Acuerdo pactado, contrato firmado. ¡Protege tu empresa!

Fecha de publicación 15/12/2020
Autor
INCIBE (INCIBE)
Persona tendiéndote su mano

Cuando las empresas deciden contratar un servicio a un proveedor externo es recomendable que ambas partes acuerden diversos aspectos sobre el mismo. De esta forma, ante cualquier eventualidad se podrán revisar los acuerdos y solicitar una posible indemnización si estos no se han cumplido.

En el siguiente vídeo se muestran las ventajas que obtuvo un restaurante al establecer diversos acuerdos con su proveedor tecnológico.

Establecer acuerdos de nivel de servicio

Los acuerdos a nivel de servicio (ANS), también conocidos como SLA por sus siglas en inglés Service Level Agreement, son un instrumento básico cuando se establece una relación con un proveedor externo, tal y como se muestra en esta historia real. Los SLA servirán para establecer las características de calidad y las garantías del servicio adquirido. Por ejemplo:

  • Se establecerán las responsabilidades de cada una de las partes durante el periodo que dure la prestación del servicio.
  • Se indicará con el mayor número de detalles los niveles del servicio ofrecido, como pueden ser las tasas de error permitidas, disponibilidad horaria, tiempos de respuesta y resolución o canales de comunicación.
  • Se indicarán los procedimientos para el seguimiento y control del servicio, de tal forma que se pueda valorar si el servicio llega a los mínimos establecidos o no, y en caso de que no se llegue, se indicarán las sanciones por incumplimiento.

Contrato de confidencialidad y responsabilidades

Dentro del contrato que se establezca con el proveedor se deberán establecer una serie de cláusulas contractuales donde se detallen una serie de cuestiones relevantes en ciberseguridad. Estos acuerdos se reflejarán mediante acuerdos de confidencialidad, en los que:

  • Se determinará a qué información puede acceder el proveedor, cómo se accederá a la misma y las medidas de seguridad que se establecerán para protegerla.
  • Se tendrá en cuenta la LOPDGDD en el tratamiento de datos personales, indicando de forma clara cuál será el objetivo de su tratamiento e indicando que estos datos no podrán ser utilizados para otra cuestión que no sea la reflejada en el contrato. Además, se tendrá en cuenta cualquier otro requisito legal, como la LSSI o la LPI.
  • Periódicamente se realizarán auditorías para garantizar la satisfacción en la prestación del servicio. Este hecho también quedará reflejado en el acuerdo con el proveedor.
  • La ciberseguridad de los servicios prestados también es un aspecto clave a tener en cuenta. Se definirán dichos requisitos en el acuerdo de manera coherente a los establecidos en las políticas de seguridad de la empresa.

Otras cuestiones a considerar al establecer un acuerdo con un proveedor externo

Además de establecer acuerdos a nivel de servicio y definir el acuerdo de confidencialidad con las responsabilidades de cada parte, se deben tener en cuenta otros aspectos que ofrecerán un plus de seguridad al servicio contratado:

  • Certificación de los servicios contratados. Cuando se contrata un servicio a un proveedor externo es recomendable que este cuente con certificaciones referentes a la calidad en la gestión de la seguridad de la información. Las certificaciones más destacables en este ámbito son la ISO 27001 de Sistemas de gestión de la seguridad de la información y la ISO 22301 de Gestión de continuidad de negocio.
  • Definir las responsabilidades concretas por ambas partes. Se indicará de forma clara en el contrato quién es el responsable de los aspectos relativos a la seguridad del servicio, como son las copias de seguridad, gestión de logs o control de los sistemas de seguridad, como el antivirus, firewall o cifrado de las comunicaciones.
  • Finalización de la relación contractual. Una vez el contrato vence se debe garantizar la seguridad de la información y los sistemas a los que tenía acceso el proveedor. Para ello, se revocarán todos los permisos de acceso y se indicará qué activos deben ser devueltos. Además, se debe garantizar el borrado de todo tipo de información sensible almacenada en los sistemas del proveedor.

Si tienes dudas, llama al 017, la Linea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad