Inicio / Protege tu empresa / Blog / Preparados, listos, ¡Ya! ¡Comienza el servicio! (con ciberseguridad)

Preparados, listos, ¡Ya! ¡Comienza el servicio! (con ciberseguridad)

Publicado el 28/07/2014, por INCIBE
Preparados, listos, ¡Ya! ¡Comienza el servicio! (con ciberseguridad)

Las empresas cada vez tienen más necesidades, pero muchas de ellas no pueden satisfacerse de una manera interna, con el propio personal y con los recursos de los que dispone. Por ello, es habitual que recurran a la contratación de empresas externas especializadas para que realicen un tipo de servicio concreto.

Los servicios que podemos subcontratar a empresas especializadas son muy diversos, mantenimiento de la informática y las telecomunicaciones, servicio de limpieza, servicio de hosting, servicios de seguridad física, etc. La contratación y prestación de este tipo de servicios implica que, en muchos casos, proporcionemos acceso a la información y activos de nuestra empresa.

Es necesario que fijemos anteriormente, unos acuerdos de nivel de servicio, conocidos como SLA (Service Level Agreement). De esta forma determinaremos la calidad del servicio y los parámetros bajo los que debe prestarse el mismo.

Además, es muy probable que para comenzar la prestación de un servicio sea necesario que intercambiemos información con el proveedor para que éste disponga de todo lo que sea necesario para desarrollar el servicio.

Pero, ¿Cómo podemos asegurar que nuestra información se mantiene protegida ante posibles robos y fugas cuando se realiza ese intercambio con el proveedor? Debemos ser muy cuidadosos y tener en cuenta una serie de pautas que nos ayudarán a protegerla.

Lo primero que debemos establecer es un protocolo de intercambio de la información, en él debemos especificar de qué manera vamos a intercambiarla con el proveedor. Necesitaremos también determinar los roles, tanto de nuestra empresa como del proveedor, que tendrán autorización para intervenir en el intercambio, así como las personas que tendrán permiso para tratarla.

Otro punto donde tenemos que centrar nuestro esfuerzo es en decidir dónde vamos a enviar la información. Es decir, establecer la vía por la que vamos a permitir intercambiarla. Existen infinidad de medios para poder transmitirla con los proveedores: correo electrónico, FTP, gestor de archivos, etc.

Hay que tener claro que la información confidencial únicamente debemos intercambiarla de manera cifrada y utilizando solo redes seguras. Nunca debemos usar entornos «no confiables» como pueden ser las redes inalámbricas públicas.

Por último, es necesario establecer las acciones que debemos llevar a cabo con la información intercambiada cuando finalice la prestación del servicio. Toda la información que se haya transmitido debe ser destruida o devuelta por el proveedor (tanto digital como en papel). Además debemos retirar los accesos físicos y telemáticos que se hayan proporcionado al proveedor para la prestación del servicio.

Todas estas pautas descritas para asegurar la información cuando la intercambiamos con el proveedor, deben estar recogidas en el acuerdo de confidencialidad establecido con el proveedor. De forma resumida....

infografia elementos ciberseguridad comenzar un servicio. Debemos asegurar que nuestra información se mantiene segura ante robos y/o fugas de informacion. A)Protocolo ¡Cómo? Generando un protocolo de intercambio de la información para establecer de qué manera vamos a intercambiarnos de una manera segura la información con el proveedor. B)Roles ¿Quién? Definir los roles autorizados que intervendrán en el intercambio de la información y las personas con permisos para tratar dicha información: autorizado a remitir la información por parte del cliente y autorizado a solicitar y a tratar la información por parte del proveedor. C)Medios ¿Dónde? La información confidencial únicamente debe intercambiarse cifrada y utilizando redes sseguras, nunca en entornos no confiables como conexiones inalámbricas públicas (hoteles, cafeterías, aeropuertos y estaciones, etc.) Se deben establecer los medios permitido para intercambiar la información: programas de mensajería electrónica, gestor de archivos, FTP, soportes extraibles, correo electrónico. Devolución o destrucción: Establecer las acciones a llevar a cabo con la información cuando finalice la prestación del servicio: toda la información que se haya accedido y transmitido debe ser destruida o devuelta por el proveedor (tanto digital como en papel) y retirar los accesos físicos y telemáticos que se hayan proporcionado al proveedor para la prestación del servicio

Etiquetas: 
Buenas prácticas
Continuidad de negocio
Contratación
Empresa
Infografía
Políticas
Protección
Protección clientes
Protección información
Artículos relacionados
Hombre con capucha y un móvil en la mano. Letras Malvertising
INCIBE | 21/03/2023
Cómo proteger tu empresa contra el malvertising
Mano azul saliendo de la pantalla
INCIBE | 14/03/2023
Historia real: la mala planificación en actualizaciones puede llevar a estas situaciones
Carteles con flechas Reactiva-Proactiva
INCIBE | 07/03/2023
¿Por qué adoptar un enfoque proactivo en nuestra organización?