Las empresas en su día a día deben desempeñar multitud de tareas para garantizar un correcto funcionamiento de la organización; algunas las realiza el propio personal y otras las puede tener asignadas un proveedor externo. En este caso, es preciso controlar los servicios que llevan a cabo las empresas externas durante todo el periodo que dure la relación contractual, no solamente cuando se firma el contrato, tal y como aconseja el Instituto Nacional para la Ciberseguridad (INCIBE), organismo dependiente del Ministerio de Economía y Empresa. La prestación de servicios por parte de un proveedor externo es habitual en la mayoría de empresas. Es por eso que mantener un seguimiento durante todo su ciclo de vida resulta altamente recomendable para prevenir muchas circunstancias negativas o que no se ajustan a las especificadas en el contrato. Para ayudar a las empresas que precisan subcontratar servicios, el INCIBE recomienda vigilar aspectos esenciales.

De hecho, cuando la prestación del servicio comienza también se inicia el periodo de seguimiento, pues es muy importante comprobar que los acuerdos firmados se respetan. Si los términos del servicio no se cumplen, se podrán aplicar las penalizaciones que se hayan pactado. De  hecho, al firmar un contrato con un proveedor externo es recomendable contar con Acuerdos a Nivel de Servicio (SLA, por sus siglas en inglés Service Level Agreement). La gran mayoría de empresas deben ser capaces de adaptarse a diferentes circunstancias, al igual que los SLA que se han firmados deben ser dinámicos para poder adaptarse a las necesidades cambiantes del negocio, como los que afectan a su estructura o funcionamiento.

En caso de que el proveedor gestione información de carácter personal se deberá haber estipulado, bien sea en el contrato o mediante SLA, qué tipo de tratamiento realizarán y cómo protegen la información. Será el delegado de protección de datos (DPD) el encargado de velar por la seguridad de estos porque a efectos legales es responsabilidad de la empresa propietaria y no del proveedor.

La información, confidencial
La transferencia de información entre ambas entidades también es una parte importante y muy sensible dentro del proceso de prestación de servicios. Por este motivo, es aconsejable aplicar medidas de seguridad para mantener la confidencialidad e integridad de las comunicaciones:

♦ Utilizar redes seguras. Las comunicaciones entre ambas organizaciones se deben realizarse usando redes seguras. Algunas recomendaciones a tener en cuenta son proteger la red wifi de la organización, utilizar una VPN o contar con herramientas antimalware:

• Seguridad en redes wifi: una guía de aproximación para el empresario
• Conéctate a tu empresa de forma segura desde cualquier sitio con una VPN
• 10 armas del gladiador antimalware

♦ Cifrar la información. Mantener la información a salvo de miradas indiscretas es otro aspecto fundamental. Por ello, cualquier comunicación que se realice debe estar cifrada.

• ¿Por qué cifrar la información sensible?
• Utiliza el correo electrónico de forma segura con PGP

♦ Limitar el acceso de terceras partes e información. El acceso a los datos compartidos entre ambas compañías tiene que estar limitado al personal estrictamente necesario. Lo mismo sucederá con la información a la que tiene acceso el proveedor, solamente accederá a la información necesaria. En caso de autorizar acceso a los sistemas de la empresa se habilitará, con los permisos necesarios, a usuarios en concreto y nunca de modo genérico a toda la organización subcontratada.
Menos es más, controla el acceso a la información.

Fin de la relación contractual
Al finalizar el contrato, aunque la relación entre las compañías haya terminado, bien sea por fin del periodo establecido o incumplimientos en las clausulas especificadas, se deben tener en cuenta algunas cuestiones para salvaguardar el buen funcionamiento de la empresa. El acuerdo de confidencialidad firmado es clave en esta fase. En él se definirán las acciones a llevar a cabo cuando termine el servicio. Generalmente, estos acuerdos tienen una vigencia superior a la establecida en la prestación del servicio, ya que así se evita que la información obtenida durante la prestación pueda ser difundida o utilizada en otra empresa. Asimismo, en los acuerdos de confidencialidad se suele especificar que toda la documentación que se ha utilizado sea devuelta a su propietario.

Cuando el servicio contratado haya gestionado datos de carácter personal, ya sea en formato físico o digital, estos deberán ser devueltos a la empresa o destruidos. Esta cláusula deberá ser estipulada en el acuerdo de confidencialidad que se firmó al comenzar la prestación del servicio.

Otro aspecto a tener en cuenta es la gestión de accesos tanto físicos como telemáticos. En caso de que el servicio subcontratado se haya llevado a cabo en la sede del cliente, se retirará el acceso a esta, bien por tarjeta, acceso biométrico o cualquier otro sistema utilizado. Si el acceso por parte del proveedor se ha realizado a los sistemas de la empresa, este también deberá ser anulado, evitando así que puedan acceder a cualquier recurso interno una vez el contrato ha finalizado. Por último, toda comunicación que se efectúe con el proveedor una vez ha concluido el contrato se debe realizar manteniendo las mismas recomendaciones de seguridad que se indicaron anteriormente, aunque no tengan lugar en el marco de una prestación de servicio.

Más información
⇒ Seguir en Twitter al @INCIBE