Inicio / Protege tu empresa / Blog / El eSLAbón perdido entre el contrato y la ciberseguridad

El eSLAbón perdido entre el contrato y la ciberseguridad

Publicado el 03/10/2016, por INCIBE
el-eslabon-perdido-el-contrato-y-ciberseguridad

¿Contratas algún servicio en la nube? ¿Tienes alojada tu página web en un proveedor? ¿Tienes ayuda externa para el soporte informático o la gestión administrativa? Y, ¿quién no? En todas las empresas en mayor o menor medida tenemos que echar mano de proveedores externos, bien para tareas técnicas o para actividades de soporte al negocio. Con esto perseguimos obtener más calidad, rentabilidad, etc. pues el proveedor es experto y nosotros no podríamos abordar esa actividad.

A la hora de contratar un servicio, desde el punto de vista de la ciberseguridad, debemos seguir una serie de buenas prácticas para elegir el más adecuado a las necesidades de nuestra empresa. Deberemos suscribir un acuerdo de confidencialidad y  firmar un Acuerdo de Nivel de Servicio o SLA (de sus siglas en inglés, Service Level Agreement) que nos garanticen por escrito como clientes.

El SLA es el documento dónde se acuerdan los niveles del servicio que se contratan. Es decir, se especifican las características del servicio, y se establecen las garantías y las medidas de seguridad exigibles al proveedor para proteger la información y asegurar su disponibilidad. Esto podemos hacerlo incluyendo en los acuerdos los límites de los parámetros (horario, capacidad, tiempo de respuesta…) del funcionamiento operativo aceptado del servicio al que se compromete el proveedor, las penalizaciones por la caída de servicios y las limitaciones de responsabilidad.

Por supuesto los SLA hay que leerlos con detalle y comprender todo lo que pone antes de firmarlos. Con estos acuerdos, es más difícil que cualquiera de las partes alegue desconocimiento en caso de que suceda algún imprevisto. Por tanto es importante tener este tipo de documentos revisados y firmados siempre que haya una relación de servicio y en particular en aquellas en las que estén involucrados los datos de nuestro negocio.

Los componentes básicos de un SLA son:

  • una declaración de intenciones de las partes;
  • las responsabilidades de cada parte (incluyendo los parámetros de rendimiento aceptables);
  • una declaración sobre la duración prevista del acuerdo;
  • una descripción de las aplicaciones y servicios que abarca el acuerdo;
  • los procedimientos para el seguimiento de los niveles de servicio;
  • un calendario para la remediación de los cortes y las sanciones asociadas;
  • los procedimientos de resolución de problemas.

Además, los SLA deben incluir una disposición en la que el proveedor de los servicios se compromete a indemnizar a la empresa del cliente por cualquier incumplimiento de sus garantías. Indemnización quiere decir que el proveedor tendrá que pagar al cliente por cualquier coste, incluidos posibles litigios con terceros, derivado de este incumplimiento. Si se utiliza un SLA estándar proporcionado por el proveedor de servicios, es probable que esta disposición esté ausente, y es interesante comprobarlo y redactar una disposición sencilla para incluirla.

Para demostrar la disponibilidad de los servicios, muchos proveedores cuelgan informes e información detallada en sus páginas web. Si el sistema contratado es crítico para nuestra organización, es importante no sólo revisar esta información sino usar herramientas de gestión de SLA o servicios de vigilancia.

El cumplimiento se comprueba mediante métricas, que normalmente tienen relación con la calidad del trabajo realizado por el proveedor. Algunos ejemplos son:

  • Tasa de error: mide el porcentaje de errores permitidos.
  • Calidad técnica: en el caso de desarrollos de productos software.
  • La disponibilidad: mide el tiempo en el que los servicios gestionados por el proveedor están disponibles. Las medidas suelen incluir un cierto nivel de tolerancia.
  • La satisfacción del servicio: relacionada con la satisfacción del cliente con el  servicio prestado por el proveedor.

Para la selección de estas métricas es interesante considerar que deben ser acordes al servicio que presta el proveedor, sencillas de tomar y que sólo sean las necesarias para medir bien el servicio.

Recordemos que estos acuerdos conllevan la transferencia de responsabilidades al proveedor en caso de incumplimiento de las condiciones establecidas en los mismos. Una de las características del contrato, es la estipulación de penalizaciones económicas, y la finalización del contrato si éste se incumple de forma habitual. Además deben ser revisados periódicamente, especialmente cuando ocurra algún cambio en alguna de las dos empresas que participan.

Protege la calidad del servicio prestado por tu proveedor de servicios firmando un Acuerdo de Nivel de Servicio, de esta manera todos evitareis malentendidos innecesarios. Protege tu empresa.

Etiquetas: 
Área de informática
Concienciación
Contratación
Empresa
Artículos relacionados
Ciberdelincuentes robando datos de un ordenador
INCIBE | 28/03/2023
¿Acercarte tú mismo al ciberdelincuente? Esto es la ingeniería social inversa
Hombre con capucha y un móvil en la mano. Letras Malvertising
INCIBE | 21/03/2023
Cómo proteger tu empresa contra el malvertising
Mano azul saliendo de la pantalla
INCIBE | 14/03/2023
Historia real: la mala planificación en actualizaciones puede llevar a estas situaciones