Inicio / Protege tu empresa / Blog / Buenas prácticas en ciberseguridad para la contratación de servicios TIC

Buenas prácticas en ciberseguridad para la contratación de servicios TIC

Publicado el 05/11/2014, por INCIBE
Buenas prácticas en ciberseguridad para la contratación de servicios TIC

¿Qué servicios ha externalizado nuestra organización? Son muchas las empresas que optan por externalizar servicios para reducir costes, mejorar la calidad, etc. Por supuesto, lo servicios relacionados con las Tecnologías de la Información y las Comunicaciones (TIC) no son una excepción y es habitual que se externalicen. Por ejemplo, algunos de los servicios TIC que se suelen externalizar son los siguientes:

  • Adquisición, instalación y mantenimiento de equipos informáticos (servidores, estaciones de trabajo, firewalls, etc.)
  • Desarrollo de aplicaciones informáticas.
  • Alojamiento de sitios web hosting.
  • Diseño y desarrollo web.
  • Almacenamiento de ficheros en la nube (servicios cloud).

Sin embargo, no siempre se tienen en consideración los riesgos relativos a la seguridad, lo que deriva en una calidad de servicio por debajo de lo esperado, aparición reiterada de incidentes que pueden llegar a deteriorar la reputación de nuestra organización, y un largo etcétera de consecuencias negativas que a ninguno nos gustaría experimentar.

A continuación hablaremos sobre las buenas prácticas en la contratación de servicios TIC en las cuatro fases de la prestación del servicio.

 Antes de la contratación

 Existen buenas prácticas que debemos considerar antes de la contratación, en la fase de búsqueda y selección del proveedor. Dentro de esta fase se incluyen las siguientes recomendaciones:

  • Definir los requisitos del servicio que deseamos contratar. Estos requisitos deben contemplar, además de las cuestiones meramente funcionales (en qué consiste el servicio) los aspectos relativos a la seguridad y calidad del servicio. Por ejemplo, si nuestra intención es contratar un servicio de hosting, deberemos definir los requisitos de disponibilidad, continuidad, etc.
  • Definir los criterios para la evaluación de ofertas y servicios. Además de cuestiones como el precio, flexibilidad de pago, referencias de otros clientes, etc., consideraremos aspectos relativos a la seguridad de la información. Por ejemplo, debemos plantearnos cuestiones del tipo: ¿es para nosotros un requisito indispensable que nuestros proveedores tenga sistemas de gestión certificados (calidad, seguridad de la información, continuidad de negocio, provisión de servicios TIC, etc.)?
  • Búsqueda del proveedor. Por norma general y, salvo que se traten de servicios TIC muy especializados, encontraremos más de una empresa capaz de proveer los servicios que necesitamos. Por lo tanto, es recomendable buscar al menos tres opciones distintas. Es fundamental solicitar información clara, precisa y completa, detallando las características del servicio, el precio, la duración, los interlocutores así como el plan para realizar el seguimiento, etc.
  • Selección del proveedor. Evaluando las distintas ofertas con los criterios previamente definidos, seleccionaremos el proveedor que mejor cubra nuestras las necesidades.

Contratación

Una vez hemos realizado la búsqueda y selección del proveedor, debemos formalizar el contrato y los acuerdos pertinentes, que dependerán de la naturaleza del servicio y de la información que se maneje, entre otras cuestiones. Por ejemplo, si en la prestación de servicios el proveedor va a tener acceso a datos de carácter personal y representa la figura de un «encargado del tratamiento», entonces deberemos establecer un contrato de acceso a datos, tal y como establece el artículo 12 de la LOPD. En resumen:

  • Formalizar el contrato para la prestación de servicios. Es importante, que el proveedor se comprometa a entregarnos todo el conocimiento (know-how) generado durante la prestación del servicio a nosotros y, en su caso, al futuro proveedor que cogiera el testigo del servicio. Como por ejemplo, si hemos contratado el desarrollo de una herramienta, el know-how generado sería el código fuente de esa aplicación.
  • Establecer las obligaciones en cuanto a medidas de seguridad, confidencialidad y protección de datos, que también deben incluir los requisitos relacionados con la seguridad física y lógica. Por ejemplo, que el proveedor posea entornos diferenciados seguros (pruebas, pre producción y producción) para el desarrollo la herramienta.
  • Establecer los acuerdos complementarios al contrato que sean necesarios debido a requisitos del marco normativo y legal en el que se lleve a cabo la provisión del servicio. En este sentido, prestar especial atención al tratamiento de datos de carácter personal.
  • Establecer los Acuerdos de Nivel de Servicio (Service-Level Agreement, SLA) teniendo en cuenta lo definido en los requisitos del servicio. Es posible que el proveedor disponga de un modelo de SLA estándar para la prestación del servicio o quizás haya que generar uno ad hoc para el servicio en cuestión.
  • Definir y acordar que acciones se deberán llevar a cabo cuando finalice la prestación del servicio, tanto por parte del proveedor como por nosotros. Además, debemos considerar las causas por las que podría finalizarse la prestación de servicio, así como las posibles penalizaciones.

Durante la prestación del servicio

Monitorización y supervisión de la calidad del servicio atendiendo a lo establecido en el contrato y en los acuerdos que se hayan formalizado. Dependiendo del tipo de servicio, resultará más sencillo monitorizar y supervisar la calidad de la prestación del mismo. Por ejemplo, en aquellos casos en los que el servicio tiene una fuerte componente técnica, la monitorización es más directa y, en ocasiones, puede ser incluso automática. Volviendo al ejemplo previamente citado, resulta sencillo monitorizar la disponibilidad de un hosting. Sin embargo, cuando los servicios tienen una componente más «humana» o, por decirlo de otro modo, la prestación está más sujeta al trabajo de las personas, la monitorización del servicio no resulta tan evidente. Sea cual sea el tipo de servicio, conviene mantener reuniones periódicas de seguimiento con el proveedor donde tratar, si los hubiera, los problemas existentes y buscar mejoras conjuntamente.

A la finalización del servicio o traspaso

Por último, hay determinadas cuestiones que debemos tener en cuenta a la finalización de la prestación de servicio. En particular:

  • En primer lugar, debemos revisar el contrato y todos los acuerdos establecidos para identificar las acciones a desarrollar por nuestra parte y por parte del proveedor.
  • Solicitar la devolución de aquellos activos que son propiedad de nuestra empresa.
  • Recordar al proveedor la devolución o destrucción de la información perteneciente a nuestra organización, según corresponda en cada caso.
  • Analizar internamente cómo ha sido la prestación del servicio con la intención de identificar posibles mejoras a considerar en futuras contrataciones.
  • En caso de que sea otro proveedor quien vaya a continuar con la provisión del servicio, debemos supervisar el «paso de testigo» y confirmar que ambos proveedores cumplen con lo acordado. Si este es el caso, probablemente sea conveniente trasladar el “know-how” generado hasta el momento al nuevo proveedor, para agilizar la adaptación al nuevo proveedor y continuar con la mejora del servicio.

Tal y como hemos podido comprobar, son muchos los aspectos a tener en cuenta para la contratación segura de servicios TIC. No se trata de elegir la primera que esté más cerca de nuestra empresa o la más barata de todas, sino tener en cuenta estos dos aspectos junto con los aquí planteados. Por ello y para garantizar que no pasamos por alto estas cuestiones, es recomendable que diseñemos y documentemos una política de contratación de servicios que considere todas las buenas prácticas previamente descritas.

¿Quieres disfrutar de una provisión de servicios más segura y de mayor calidad? Aquí tienes las pautas a seguir. ¡Ánimo, empieza hoy!

Etiquetas: 
Buenas prácticas
Contratación
Empresa
Protección información
Artículos relacionados
Ciberdelincuentes robando datos de un ordenador
INCIBE | 28/03/2023
¿Acercarte tú mismo al ciberdelincuente? Esto es la ingeniería social inversa
Hombre con capucha y un móvil en la mano. Letras Malvertising
INCIBE | 21/03/2023
Cómo proteger tu empresa contra el malvertising
Mano azul saliendo de la pantalla
INCIBE | 14/03/2023
Historia real: la mala planificación en actualizaciones puede llevar a estas situaciones