Mis servicios externos, siempre ciberseguros
A día de hoy, es frecuente que muchas empresas hagan uso de servicios especializados externos, que dan soporte o sirven de ayuda a una parte de su actividad, ya que el coste de adquirir la infraestructura necesaria para contar con ese servicio, sería muy elevado. En este tipo de situaciones, de nada servirá contar con un alto nivel de exigencia en seguridad en la propia organización, si luego no exigimos ese mismo nivel a estos proveedores externos. Si además, tenemos en cuenta que también podrán gestionar nuestra información, incluida información que podría ser catalogada como sensible, deberíamos establecer las clausulas en los contratos y los controles necesarios para garantizar que los datos se encuentren protegidos y pedir responsabilidades en caso de incidente.
Estos proveedores de servicios, serán clasificados en función de los siguientes grupos:
- Proveedores de servicios tecnológicos. Serán aquellos que ofrecen servicios como alojamiento web, emisión de certificados, pasarelas de pago, almacenamiento en la nube, soporte informático (tanto presencial, como en remoto), etc.
- Proveedores de servicios no tecnológicos pero con acceso a datos corporativos: proveedores de servicios financieros, viajes, transporte, publicidad y marketing, etc.
- Suministradores de productos tecnológicos, es decir, de los que adquirimos el hardware, los componentes, las aplicaciones informáticas, etc.
Así pues, si vamos a contar con proveedores de servicios externos, será muy importante que nuestra información disponga de los mecanismos de protección y seguridad suficientes, tanto en su acceso, como en su uso. Para ello, será necesario suscribir los acuerdos y contratos que garanticen la protección de la información, que deberá contemplarse antes, durante y tras la finalización del servicio. Y será imperativo comprobar que los productos y servicios contratados incluyen los requisitos de seguridad establecidos por la organización.
¿Cuáles son los puntos más importantes a tener en cuenta?
La seguridad, tanto en productos, como en servicios, que deberá estar alineada con las políticas de seguridad de la información que estén implantadas en la organización, y que se extenderá a proveedores, suministradores, colaboradores, partners, etc.
Definir cláusulas contractuales en materia de seguridad de la información. De esta manera, contaremos con contratos rigurosos en materia de ciberseguridad, donde deberán quedar reflejadas todas las cuestiones relacionadas con la confidencialidad y con el acceso a los datos.
Definir las responsabilidades concretas por ambas partes, estableciendo por contrato las situaciones en las que se defina si es el proveedor o somos nosotros los responsables en algún aspecto de seguridad, así como las posibles penalizaciones.
Definir los ANS (Acuerdos de Nivel de Servicio) o SLA (Service Level Agreement), donde se reflejará de manera contractual qué nivel de funcionamiento operativo se le podrá exigir al proveedor, determinando las características de los servicios contratados, estableciendo las garantías y medidas de seguridad exigibles al proveedor para proteger la información y asegurando su disponibilidad. Además, se podrán incluir penalizaciones por interrupción del servicio.
Establecer controles de seguridad obligatorios, identificando los servicios y componentes a los que la organización permitirá el acceso, a qué información se podrá acceder, cómo accederán o revisando el cumplimiento de los ANS acordados.
Formar parte de foros y organizaciones de usuarios de los productos y servicios de software utilizados. El objetivo será poder consultar dudas sobre funcionalidades, novedades o vulnerabilidades. Además, también permitirá comprobar si poseen sellos de calidad o revisar su reputación.
Certificación de los servicios contratados. Si estamos hablando de servicios críticos, será necesario verificar que el proveedor está en condiciones de asegurar la calidad de los mismos. Esto se puede conseguir a través de las certificaciones que hagan referencia a la calidad en la gestión de la seguridad, destacando la certificación ISO 27001 de Sistemas de Gestión de la Seguridad de la Información y la certificación ISO 22301 de Gestión de Continuidad de Negocio.
Auditorías y control de servicios contratados. Para asegurar la calidad del producto contratado, deberemos realizar monitorizaciones, revisiones y auditorías de aquellos aspectos relacionados con la seguridad. Además, será necesario establecer la manera de actuar ante cualquier incidente o problema surgido con productos o servicios de proveedores externos.
Finalización del contrato. Por último, también será importante garantizar la seguridad de la información tras la finalización de los servicios contratados. Para ello, habrá que establecer qué activos serán devueltos, cómo se eliminarán permisos de acceso o cómo se procederá ante el borrado de información sensible de la organización que pudiera estar almacenada en los servidores del proveedor.
En el siguiente vídeo, te mostramos la importancia de tener en cuenta estas indicaciones, ya que las consecuencias de una interrupción del servicio en el momento más inoportuno pueden llevar a pérdidas económicas o de reputación:
La externalización de servicios ofrece grandes ventajas, como el ahorro económico que supondría contar con los elementos tecnológicos para poder llevarlos a cabo, pero a la hora de contratar estos servicios, desde el punto de vista de la ciberseguridad, deberemos fijar todas las condiciones para garantizar la seguridad de la información, a través de acuerdos de confidencialidad, de acceso a datos personales o acuerdos de nivel de servicio. De nada servirá disponer de mecanismos de seguridad en la propia empresa, si no se exige el mismo nivel de ciberseguridad a los proveedores externos.