Ver Suplemento Temático...


Seguridad de la Información y Protección de Datos.

 

 Expertos

Rodolfo Tesone Mendizábal


Director Área Jurídico Tecnológica
ITGLOBAL Servicios Tecnológicos

Estrategia en la transferencia del riesgo y en la contratación de servicios seguros


En la coyuntura económica actual, el objetivo de ahorrar costes y de optimizar recursos ha propiciado un incremento del nivel de externalización de las empresas. En lo que se refiere a los Sistemas de Información, esta tendencia hacia la externalización ha sido si cabe más acusada, comportando la transferencia de información, de datos, y de servicios críticos hacia terceras empresas proveedoras, convirtiéndose éstas en un pilar fundamental para la sostenibilidad del propio negocio.

Sin embargo, y a pesar de tratarse de un elemento tan crítico, en la mayoría de casos, se decide externalizar este tipo de servicios “seguros” TIC sin una estrategia previa que permita -entre otras cuestiones- contrastar si son realmente tan “seguros” como nos pretenden vender, o en su caso, si los riesgos resultantes son realmente los esperados y por tanto aceptables. La praxis habitual es convocar a una serie de proveedores tras una filtración previa para solicitarles ofertas (no menos de tres) respecto de las soluciones o servicios requeridos. Una vez recibidas, se comparan y se analizan las diferentes propuestas -generalmente presentadas en forma de presupuesto- y es
finalmente cuando se decide cerrar el proceso de contratación seleccionando la propuesta escogida, cuando de forma meramente testimonial y para cumplir con una aparente formalidad mercantil, se realiza el “trámite burocrático” de firmar el contrato– eso cuando lo hay, pues en la mayoría de casos no hay contrato o ni siquiera un clausulado legal integrado en el propio presupuesto. Resultado: Se ha contratado la externalización de un elemento crítico para la seguridad del Sistema de Información basándose en una confianza que en el mejor de los casos ha podido ser contrastada pero de ninguna forma garantizada, lo cual, desde una perspectiva de transferencia del riesgo no sólo es estéril, sino además es temerario. Sin duda, la confianza es un
elemento básico en el tráfico mercantil, pero piénselo bien: si ésta no se viera defraudada con tanta frecuencia los abogados no existiríamos, y seguro que no les descubro nada si les digo que el mundo está lleno de abogados; será por algo, ¿no creen?

Por este motivo es fundamental desde la perspectiva del proveedor pasar de la cultura de la “Seguridad Presunta” (se presupone) a la de la “Seguridad Expresa” (se demuestra y se garantiza y si no se compensa). Actualmente este cambio puede suponer sin duda una importante ventaja competitiva, lo cual en los tiempos que corren no es para despreciar (el simple hecho de acompañar a la presentación de la propuesta o presupuesto un contrato realmente adecuado al servicio –por tentador que sea no sirve cualquier plantilla- junto a las correspondientes certificaciones y a una buena póliza de Responsabilidad Civil –todo eso ya sería para nota- puede ser más que decisivo para decantar la decisión hacia nosotros), aunque conforme el grado de
concienciación aumente por parte de quien contrata (y en ese mensaje somos ya muchos los que llevamos tiempo evangelizando) pasará de ser una ventaja competitiva más a un requisito imprescindible para poder continuar en el negocio.

Debido a la gran cantidad de amenazas y a la envergadura del riesgo existente en la contratación de servicios seguros, es absolutamente indispensable tanto para el cliente como para el proveedor, disponer de una estrategia que nos permita tener en cuenta aspectos tan críticos como la propiedad de la información, la regulación de su tratamiento, su confidencialidad, las medidas de seguridad aplicables, las posibles transferencias internacionales que se puedan producir, su propiedad intelectual, el régimen de subcontrataciones, la determinación de los estándares e indicadores de calidad del servicio, la posible inclusión del proveedor en la ejecución de procesos
propios (como el plan de continuidad del negocio, o la gestión de los derechos ARCO), el régimen de comprobaciones, verificaciones o auditorías (destacando la necesidad frente a terceros de aportar Certificaciones en Seguridad de la Información, como la ISO 27001), el régimen de responsabilidades y penalizaciones, las obligaciones tras la finalización del servicio, la resolución de Conflictos (teniendo en cuenta el primitivo y precario estado actual de la Administración de Justicia en lo que respecta a contenciosos de índole informática), o la legislación aplicable y la jurisdicción
competente en un contexto de globalización como en el que nos encontramos.

La conclusión es que el hecho de disponer de una estrategia de externalización de Servicios TIC críticos debe constituir un objetivo de primer nivel en la organización siendo un factor decisivo para el éxito y la continuidad de cualquier Entidad. Por este motivo recomendamos que, tanto si es una empresa del Sector de la Seguridad de la Información, como una Entidad que necesite de sus servicios, disponga de asesoramiento experto que le pueda dar cobertura desde un punto de vista
multidisciplinar y desde un enfoque global.

Suplemento Temático: Los nuevos retos del Director de Seguridad

 


Fuente: www.boletindintel.es
Fecha: 29/04/10

   Mas artículos de Rodolfo Tesone Mendizábal       Otros Expertos   

Este experto ha sido visto por 3426 personas.