La importancia de proteger la información mediante acuerdos de confidencialidad
En muchas ocasiones, nos vemos en la necesidad de tener que externalizar servicios de nuestra empresa. Esta práctica puede implicar dar acceso a información confidencial a un tercero, lo que añadirá un punto débil en nuestra cadena de seguridad.
Firmar un contrato sentará las bases de la relación que se establecerá entre ambas partes, fijando los compromisos que se adquieren mutuamente. También es recomendable establecer los niveles de servicio prestado esperados así como las penalizaciones por incumplimiento o las garantías existentes. En este artículo trataremos la importancia de establecer contratos de confidencialidad para proteger la información de la empresa.
Importancia de contrato de confidencialidad
Cuando por el motivo que sea, la empresa requiera de la prestación de un servicio externo, en el que dicho proveedor deba tener acceso a información de la empresa, habrá que establecer las medidas de protección aplicables, por ejemplo: realizar una clasificación o utilizar técnicas de cifrado. También, se establecerán controles de seguridad si contamos con proveedores que utilizan sus propios sistemas para gestionar la información de la empresa, ya que en estos casos la seguridad estará supeditada a la del propio proveedor. Independientemente del sistema utilizado, existe el riesgo de que se produzca una fuga de información.
Qué requisitos solicitar al proveedor
El proveedor del servicio debe estar comprometido con la seguridad de su cliente, por ello incluiremos cláusulas en el contrato para indicar que:
- no revelará a ningún tercero información a la que tenga acceso durante la prestación del servicio;
- establecerá las medidas de seguridad oportunas para proteger la información, por ejemplo aplicando políticas de control de acceso.
Otro aspecto a valorar cuando se contrata la prestación de un servicio es si el proveedor cuenta, para ese servicio, con certificados actuales que hayan sido reconocidos o validados por entidades de confianza, como son:
- ISO 9001 para la calidad del servicio;
- ISO 27001 para la seguridad de la información;
- ISO 20000 para la calidad de los servicios informáticos.
No menos importante es ser conscientes de que cuando se realiza una determinada actividad se genera conocimiento, aunque este lo realice un tercero. Este conocimiento generado es de gran valor para la empresa, por lo que redactaremos cláusulas que obliguen al retorno de este conocimiento durante o al finalizar la contratación.
Formalizar el contrato de confidencialidad
Los contratos de confidencialidad incluirán:
- nombre y datos del proveedor, definiendo claramente quién accederá a la información confidencial;
- se determinará qué información se considera confidencial y por lo tanto está protegida por el acuerdo;
- se fijará la duración de la relación de confidencialidad, que generalmente será superior al tiempo de prestación del servicio;
- se establecerán las medidas de seguridad durante y al finalizar la prestación del servicio;
- se han de indicar las restricciones al uso de la información por parte del proveedor del servicio;
- se establecerán las medidas de seguridad para proteger la información, siempre de manera proporcional al objeto del contrato;
- en caso de ser necesario, se indicará la jurisdicción legal a la que se acoge cada una de las partes.
Establecer un contrato de confidencialidad con el proveedor de un servicio cuando este va a gestionar la información confidencial de la empresa es la forma más idónea para proteger los propios datos y la compañía. Evita que puedan hacer un mal uso de la información, y en caso de hacerlo y sufrir algún perjuicio podrás presentar un contrato firmado que atestigüe la relación que se estableció. No lo olvides, si vas a contratar a un tercero que puede tener acceso a información confidencial, establece un acuerdo de confidencialidad.