Temas como ciberseguridad y privacidad de los datos se constituyen como una de las áreas más difíciles en la elaboración de contratos de outsourcing TI, destacó Rebecca Eisner, abogada en el bufete Mayer Brown.
“Los proveedores están comprensiblemente preocupados por no pagar compensaciones que son desproporcionadas a los ingresos recibidos y, por tanto, procuran limitar o negar su responsabilidad”, afirmó Eisner. “Los clientes están igualmente preocupados, particularmente donde los proveedores no tienen los mismos incentivos para proteger la información del cliente como lo hace este, y porque los impactos negativos de un incidente de seguridad son generalmente mucho más importantes para el cliente que para el proveedor”, continuó.
El entorno de TI cada vez más complejo y geográficamente disperso también dificulta las cosas. Hoy en día, los datos están dispersos por centros de datos, la nube y los dispositivos móviles. “Los puntos de acceso y los posibles puntos de fallas de seguridad se multiplican en este ecosistema en constante expansión. Además, muchos de estos sistemas son proporcionados y gestionados por terceros proveedores”, explicó Eisner.
Por estas razones, los CIO deben realizar una propuesta de gestión de riesgos para seleccionar, contratar y supervisar a los proveedores de servicios TI de su compañía. Existen seis pasos que los directores de TI pueden dar para fortalecer la privacidad de los datos y aumentar las protecciones de ciberseguridad en sus interrelaciones con los proveedores de TI, según Eisner:
1. Conocer qué proveedores procesan o tienen acceso a los datos personales o regulados más sensibles de la compañía, así como a los datos que representan la “joya de la corona” de la organización.
2. Colaborar con la seguridad de la compañía, con la gestión de distribuidores y con los equipos jurídicos para determinar cuáles son las relaciones con proveedores que generan los mayores riesgos para la compañía con el fin de concentrar el nivel adecuado de atención y de recursos en los servicios de outsourcing.
3. Examinar los acuerdos con los proveedores de servicios TI a través del prisma de los requisitos de privacidad de datos y de la ciberseguridad actualizada y bien definida de la compañía. Modificar estos contratos para cerrar algunos gaps.
4. Asegurarse de que el equipo de seguridad está supervisando a los proveedores de alto riesgo y actualizando los cuestionarios de evaluación de la seguridad de estos de forma anual o semestral. Revisar informes de auditoría, certificaciones y pruebas de penetración y, cuando proceda, realizar visitas sobre el terreno.
5. Revisar regularmente las condiciones contractuales de privacidad y seguridad de la empresa con el asesor jurídico para asegurarse de que los requisitos básicos estén actualizados. “Esto es particularmente necesario debido a la rápida evolución de la regulación de privacidad en los Estados Unidos y en todo el mundo”, explicó Eisner.
6. Tomar el tiempo necesario para educar a la junta directiva de la compañía y a los empleados sobre los riesgos en la privacidad y seguridad y explicarles los pasos que deben dar para mitigarlos.
-IDG.es
