Inicio / Protege tu empresa / Blog / Cómo mejorar la ciberseguridad a través de acuerdos de confidencialidad

Cómo mejorar la ciberseguridad a través de acuerdos de confidencialidad

Publicado el 23/12/2014, por INCIBE
Cómo mejorar la ciberseguridad a través de acuerdos de confidencialidad

¿Has establecido un acuerdo de confidencialidad con la empresa que presta los servicios de limpieza y/o mantenimiento? En la actualidad son muchos los servicios que una organización recibe por parte de terceros. A menudo no se establece un acuerdo de confidencialidad entre la empresa que recibe el servicio y el proveedor que lo presta porque no se ha identificado la necesidad de hacerlo.

En esta entrada analizaremos algunos de los servicios que requieren el establecimiento de un acuerdo de confidencialidad y que frecuentemente no están debidamente regulados.

  • Servicio de limpieza: para el desarrollo de sus funciones, el personal encargado de la limpieza de las instalaciones no requiere acceder a nuestra información corporativa. Sin embargo, es posible al llevar a cabo sus tareas, que acceda accidental e involuntariamente a información confidencial. Por ejemplo, es posible que haya información en los escritorios y mesas de trabajo y que el personal de limpieza acceda a ésta. Debido a esta situación, debemos establecer un acuerdo de confidencialidad que regule la prestación de este servicio y/o incluir en el propio contrato cláusulas que hagan referencia a la obligación de mantener secreto profesional respecto a cualquier información que pudiera ser accedida en el desarrollo de sus funciones.
  • Mensajería: en ocasiones, el servicio de mensajería interna (al que nos referimos habitualmente con el nombre de “valija interna”) está subcontratado a un tercero. La información que enviamos y recibimos a través de esta vía puede ser de muy diversa índole: boletines informativos, planes de proyecto, informes, albaranes, facturas, nominas, etc. Si bien es cierto que para el transporte de esta información el mensajero no requiere tener acceso a la misma, existe un riesgo potencial elevado de que éste pueda acceder a la información que transporta, por lo que puede ser recomendable incorporar un acuerdo de confidencialidad.
  • Formación: cada vez son más las empresas que solicitan cursos de formación con un enfoque práctico, con independencia del contenido a tratar. En las sesiones de formación se fomenta la participación de los empleados y es habitual que se expongan ejemplos reales para analizar los casos concretos que interesan a los asistentes. En este contexto, el personal docente puede tener acceso a datos de clientes, proyectos, productos, etc. con carácter confidencial.
  • Mantenimiento de instalaciones: el personal encargado del mantenimiento de las instalaciones (ej. mantenimiento de los equipos de aire acondicionado, mantenimiento eléctrico, etc.) no requiere generalmente acceso a información corporativa. Sin embargo, es posible que acceda de forma accidental a la misma tal y como ocurría con el servicio de limpieza. Así pues, es conveniente establecer un acuerdo de confidencialidad para incrementar la seguridad nuestra información empresarial.
  • Seguridad física y control de acceso físico: el servicio de seguridad y control de acceso físico a las instalaciones es un servicio especialmente peculiar cuando se analiza con el objetivo de valorar la necesidad de establecer un acuerdo de confidencialidad. Al respecto, debemos considerar si el personal externo presta el servicio en la zona de recepción de nuestra empresa o si por el contrario también tiene acceso al resto de instalaciones. En el primer caso, se reduce considerablemente la probabilidad de que se produzca un acceso accidental a nuestra información empresarial. Sin embargo, si el servicio contempla la realización de “rondas de vigilancia” por el interior de nuestras instalaciones, se incrementa el riesgo de que se produzcan accesos no previstos a información corporativa y, por lo tanto, será necesario establecer el acuerdo de confidencialidad.

A lo largo del artículo hemos hecho referencia a la confidencialidad de la información en general, sin hacer distinción sobre si ésta contiene o no datos de carácter personal. Al respecto, debemos tener presente que la legislación en materia de protección de datos de carácter personal, incluye requisitos de obligado cumplimiento cuando exista la posibilidad de que el personal externo acceda a este tipo de datos.

Por tanto, hemos podido comprobar que existen servicios para los que es recomendable establecer un acuerdo de confidencialidad aun cuando no parece necesario a priori. También podemos concluir que, dependiendo de la información que se maneje en nuestra empresa, es necesario regular los aspectos relativos a la confidencialidad de la información. Por lo tanto, recomendamos revisar los servicios externalizados y tener en cuenta estas consideraciones cuando contratemos nuevamente estos servicios.