Como el artículo está a disposición de todo el que lo quiera leer, me voy a limitar a resumir los aspectos a mi juicio más destacables a la hora de poder gestionar la seguridad de unos servicios externalizados, de acuerdo con dicho artículo:
- Tendremos que extender nuestros procedimientos y normas de gestión de la seguridad al prestador de servicios, "obligándole" a que las adopte como mínimos exigibles.
- Deberíamos conseguir que el prestador de servicios se comprometa a aplicar internamente unas medidas de seguridad técnicas, organizativas y operativas mínimas (dicho de otra forma, exigirle que gestione su seguridad).
- El proveedor deberá comprometerse a ser auditado periódicamente y a corregir las desviaciones que se detecten en las auditorías, poniendo a nuestra disposición los informes de auditoría.
- Deberemos reservarnos el derecho de ser nosotros mismos quienes auditemos al proveedor, tanto a nivel técnico como a nivel de gestión.
- El proveedor deberá comprometerse a gestionar formalmente sus incidentes de seguridad, y a informarnos acerca de ellos y de las acciones adoptadas para su corrección.
- Tendríamos que conseguir que el proveedor de servicios designe un responsable de seguridad que centralice su interlocución con nosotros en dicha materia, manteniéndonos informados periódicamente.
- Tendremos que reservarnos el derecho de cancelar el contrato a causa de una seguridad deficiente.
- Deberíamos establecer SLAs sobre los aspectos de seguridad organizativa y técnica más relevantes para el servicio subcontratado: bastionado, gestión de cambios y parches, gestión de incidentes de seguridad, resultados de las auditorías, etc.
- Por último, también sería conveniente que estableciésemos penalizaciones económicas, aparte de los SLAs, en caso de que se produzca algún incidente grave de seguridad que nos perjudique (sobre todo los relacionados con divulgación de nuestra información).
2 comentarios:
Y eso sin contar con los problemas para negociar las condiciones con grandes proveedores (lo tomas o lo dejas, pero la letra pequeña la ponen ellos) como telecos.... y los lios con los que no estan sujetos al sistema legal español, ni tan siquiera el europeo de modo que no hay nada que hacer por la via legal para hacer cumplir las condiciones.
salu2
Kike
Veo que te ha tocado "pegarte" con proveedores... Me temo que, como siempre, la realidad es más dura que cualquier "guía de buenas prácticas". Al final, toca poner en un plato de la balanza el nivel de servicio que ofrece el proveedor y en la otra el nivel de "protección jurídica" que tenemos ante problemas con ese nivel de servicio, ponderado por la probabilidad de que incumpla los niveles comprometidos... ¿Cuál es el "nivel de riesgo" resultante? ;-)
Publicar un comentario