¿Sabes cómo proteger la información de tu empresa al contratar servicios externos?
Cuando cualquier empresa se plantea contratar algún servicio externo, lo hace motivado por la necesidad de ver satisfecha alguna tarea o actividad concreta: soporte informático, seguridad física en instalaciones, gestiones administrativas, servicios en la nube (cloud), etc.
La principal finalidad a la hora de externalizar un servicio es mejorar las condiciones en cuanto a calidad, seguridad, rendimiento, etc., que nuestra propia empresa sería capaz de ofrecer valiéndose únicamente de sus propios recursos. También puede darse el caso de tener la necesidad de un servicio temporal, o que simplemente resulte más económico contratarlo.
Una vez identificadas las necesidades a cubrir, hay que estudiar las opciones que ofrece el mercado, sin dejar de lado aspectos tan importantes como los relacionados con la ciberseguridad. No se puede perder de vista que subcontratar servicios podría implicar conceder acceso a datos corporativos, que en muchas ocasiones serán confidenciales. Por lo tanto, es necesario establecer medidas que garanticen la protección de los datos ante posibles robos, accidentes o tratamientos inadecuados de la información.
Algunas de las medidas vendrán derivadas del cumplimiento de la legislación vigente, tanto del Reglamento General de Protección de Datos (RGPD), como de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), cuyo incumplimiento podría derivar en sanciones legales. En otros casos, serán las buenas prácticas las que impidan que corramos riesgos innecesarios que podrían repercutir negativamente en la reputación de nuestra marca.
En definitiva, las fases de la contratación de servicios podrían resumirse en el siguiente gráfico, cuyas principales medidas intentaremos resumir a continuación:
Fase de contratación
En muchas ocasiones, contratar servicios implicará proporcionar acceso a un tercero a la información y activos de nuestra empresa. Existen una serie de acuerdos y contratos que sentarán las bases para regular cómo se tratará la información a la que se tendrá acceso durante la prestación de dicho servicio, así como otros aspectos, como penalizaciones, facturación, garantías, etc.
Contrato de confidencialidad
Conocido como NDA por sus siglas en inglés Non-Disclosure Agreement, es un tipo de contrato que garantizará que se guarda secreto respecto a la información de nuestra empresa a la que el proveedor tendrá acceso, ya sean datos de terceros, datos sensibles, como todo tipo de información tanto personal como confidencial, protegiéndola frente a fugas o robos de información.
Para evitar este tipo de situaciones de riesgo, debe existir un compromiso inequívoco por parte del proveedor, mediante el cual:
- no revele a terceros la información a la que tenga acceso mientras dure la prestación del servicio;
- el proveedor establecerá una serie de medidas de seguridad que garantizarán la protección de la información a la que acceda.
Por último, no podemos olvidar que la empresa que contrate un servicio deberá disponer de todas las medidas de seguridad necesarias para que el proveedor únicamente acceda a aquella información que le sea necesaria para la prestación de dicho servicio.
Contrato de acceso a datos personales
Aquellas situaciones en las que se contrate un servicio externo que requiera del acceso y manipulación de datos personales de la empresa contratante, quedarán reguladas tanto por el Reglamento General de Protección de datos (RGPD), como por la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Por lo tanto, se tendrá que firmar un contrato de encargo del tratamiento, tal y como indica el RGPD. A este contrato se le conoce como acuerdo de confidencialidad.
No obstante, si hubiese una difusión o pérdida de estos datos, aun si fuera por culpa de un proveedor, sería responsabilidad del propietario, por lo que las consecuencias legales recaerían sobre la empresa contratante. Por lo tanto, será necesario establecer todas las medidas de seguridad necesarias que garanticen su protección.
Acuerdos a nivel de servicio
Además de garantizar la seguridad de los datos que el proveedor del servicio pueda manejar, nos deberemos asegurar de que este, cumple con las condiciones pactadas y que además, lo hace de la manera acordada. Por ejemplo, si el proveedor que nos aloja nuestra página web de comercio electrónico nos ha prometido un 99,5% de disponibilidad del servicio, deberá quedar reflejado en un tipo de contrato conocido como acuerdo de nivel de servicio o SLA (por sus siglas en inglés Service Level Agreement).
Fase de transferencia de información
Una vez establecidos los contratos y acuerdos, se procederá al intercambio de información. En este momento, el proveedor podrá acceder a aquellos datos que le sean necesarios para la propia prestación del servicio. En esta fase deberemos ser muy cuidadosos ya que a la hora de realizar intercambios de información, esta queda expuesta a robos o fugas. Para evitarlo, implantaremos una serie de medidas como las siguientes:
- Si el servicio se presta de manera remota, contrastar con el proveedor que dispone de las medidas de seguridad necesarias para la protección de nuestra información. En caso de no contar con alguna, deberemos exigir que sean implementadas.
- Si el servicio se presta en nuestras instalaciones y el proveedor aporta sus equipos, estos serán previamente auditados para comprobar que cuentan con las medidas de seguridad preestablecidas.
- Definir una política de usuarios para que únicamente puedan acceder a aquellos directorios necesarios para la realización del servicio.
- Revisar y eliminar los metadatos de los documentos que se intercambien con el proveedor, ya que podrían revelar información corporativa.
- En caso de intercambiar información confidencial mediante correo electrónico, almacenamiento en la nube, dispositivos extraíbles, etc., utilizar mecanismos de cifrado de datos.
- Si vas a intercambiar dispositivos de almacenamiento con el proveedor, realiza previamente un borrado seguro de los mismos para evitar que esa información pueda ser recuperada.
- Para intercambiar información, utiliza siempre redes seguras evitando redes públicas o gratuitas como las de cafeterías, aeropuertos, estaciones, etc.
Prestación y seguimiento del servicio
Como clientes de un servicio externo, deberemos realizar un seguimiento del mismo. Se trata del momento de comprobar si los acuerdos y contratos firmados se están cumpliendo.
Al haber establecido un SLA, se deberá realizar una revisión periódica para ver el grado de cumplimiento e identificar posibles desviaciones. Estos acuerdos se adaptarán a los cambios y se ajustarán a las necesidades del negocio. Cualquier cambio en la estructura o el funcionamiento de la organización podría afectar a dicho SLA.
Finalización del servicio
Una prestación de servicio puede finalizar bien porque se haya acabado el tiempo para la que fue contratada o por alguna cláusula especificada en los acuerdos (incumplimientos, cambios en las necesidades del servicio o del cliente, etc.).
Sea como sea, cuando se establece una relación comercial con un proveedor externo, a la hora de finalizar dicha relación también se debe garantizar la seguridad de la información de nuestra empresa:
- Mediante la devolución de toda la documentación compartida. Además, la duración del contrato de confidencialidad suele ser superior a la del servicio de tal forma que, aunque el contrato haya finalizado, el proveedor no podrá difundir ni utilizar la información a la que ha tenido acceso durante la prestación de tal servicio.
- Si se ha accedido a datos personales, el RGPD obliga al proveedor a garantizar la destrucción de toda la información a la que haya tenido acceso, con independencia de que se encuentre en formato digital o impreso.
- Retirando los accesos físicos y telemáticos proporcionados al proveedor, usuarios, permisos, accesos, etc.
A la hora de contratar servicios externos a nuestra organización, si queremos evitar que se pueda realizar un uso fraudulento de la información a la que el proveedor pueda tener acceso, utilizaremos una serie de contratos que reflejarán las condiciones de uso de dicha información. Pero no podemos olvidar que la responsabilidad última de robos o fugas de datos, será siempre de la compañía propietaria, por lo que siempre se deberá tener presente la ciberseguridad a la hora de proteger la información de una empresa.