Inicio / Protege tu empresa / Blog / Servicios externalizados sí, pero con garantía

Servicios externalizados sí, pero con garantía

Publicado el 29/08/2016, por INCIBE
Servicios externalizados sí, pero con garantía

¿Tienes servicios externalizados con proveedores externos? ¿Conoces los aspectos de ciberseguridad a tener en cuenta?

Cuando externalizamos alguno de nuestros servicios tecnológicos a una empresa, debemos tener en cuenta una serie de precauciones. Estas consideraciones nos ayudarán a elegir tanto un proveedor como un servicio de calidad, que se ajusten a nuestras necesidades y que nos ofrezcan unas ciertas garantías de funcionamiento y ciberseguridad.

La externalización de servicios ofrece grandes ventajas, como el ahorro económico que supondría adquirir y mantener una infraestructura tecnológica propia para llevarlos a cabo. A la hora de contratar uno de estos servicios, desde el punto de vista de la ciberseguridad, fijaremos todas las condiciones relacionadas con el servicio mediante acuerdos de confidencialidad, de acceso a datos personales o acuerdos de nivel de servicio. Asimismo, realizaremos un seguimiento sobre los servicios prestados por estos proveedores.

¿Qué podría ocurrir si no tenemos esto en cuenta?

En el siguiente video, te mostramos la importancia de tener en cuenta estas indicaciones. En este caso, nuestro protagonista tiene contratado el gestor documental de su gestoría en la nube. Como no tiene establecido ningún acuerdo de nivel de servicio que regule la calidad del servicio, y ante una interrupción prolongada del servicio en el momento más inoportuno, sufre unas importantes pérdidas económicas y de reputación. Pérdidas, que podrían haber sido fácilmente mitigadas si se hubieran fijado las responsabilidades desde el primer momento.

¿Qué tenemos que hacer para que esto no me suceda? ¿Que debe contemplar un acuerdo de nivel de servicio?

Con el Acuerdo de Nivel de Servicios o SLA (Service Level Agreement) se reflejará de manera contractual el nivel de funcionamiento operativo exigible a un proveedor externo de servicios. Se determinarán las características de los servicios contratados, estableciendo las garantías y las medidas de seguridad exigibles al proveedor para proteger la información y asegurar su disponibilidad. Se pueden incluir penalizaciones por la interrupción del servicio y se transfiere la responsabilidad al proveedor en caso de incumplimiento de las condiciones establecidas.

En general, estos acuerdos deberían contemplar:

  • que el prestador del servicio tenga e implemente las medidas técnicas y organizativas adecuadas para que la información almacenada en la nube no se pierda, dañe o corrompa
  • que se cuente con un plan de recuperación de desastres que facilite la rápida recuperación del servicio en caso de que falle el servicio
  • que los datos y procesos que se almacenan en las instalaciones del prestador del servicio no sean accedidos o utilizados por terceras personas
  • que los datos que almacena el prestador del servicio no sean accedidos o utilizados por éste para fines distintos a los que establece el contrato
  • que los datos viajen de forma segura cuando están siendo comunicados entre el prestador del servicio y su empresa
  • que la calidad del servicio sea la necesaria para la actividad de la empresa

Este ejemplo, nos debe concienciar de la necesidad de establecer los mecanismos necesarios, a la hora de seleccionar y gestionar la relación con nuestros proveedores desde el punto de vista de la ciberseguridad. ¡Protege tu empresa!

Etiquetas: 
Protección información
Servicios profesionales
Testimonios
Video
Vulnerabilidades
Buenas prácticas
Concienciación
Empresa
Artículos relacionados
Ciberdelincuentes robando datos de un ordenador
INCIBE | 28/03/2023
¿Acercarte tú mismo al ciberdelincuente? Esto es la ingeniería social inversa
Hombre con capucha y un móvil en la mano. Letras Malvertising
INCIBE | 21/03/2023
Cómo proteger tu empresa contra el malvertising
Mano azul saliendo de la pantalla
INCIBE | 14/03/2023
Historia real: la mala planificación en actualizaciones puede llevar a estas situaciones