Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos
Consideraciones relacionadas con la responsabilidad sobre el tratamiento de los datos, normativa, seguridad y confidencialidad de los datos y aspectos esenciales del contrato de servicios desde el punto de vista técnico/funcional relacionado con la seguridad de la información.
Delegación de actividades, no de responsabilidad
Definir un adecuado mecanismo de delegación de actividades propias de las áreas tecnológicas y de seguridad de la información hacia Terceras Partes, requiere de un enfoque práctico bajo el cual se establezcan pautas para facilitar la interlocución con los proveedores de servicios tecnológicos, el control sobre su gestión operativa y la revisión del cumplimiento regulatorio.
La delegación de la operación no implica una delegación de responsabilidad, por lo cual aquello que dejemos de Operar/Administrar debemos Controlarlo/Auditarlo. Adicionalmente, no deben tercerizarse actividades con proveedores que a su vez tengan contratada la función de auditoria interna y/o externa de dichas actividades.
¿Qué actividades son las que se delegan habitualmente?
Administración, transmisión y/o procesamiento de datos
Administración de servicios o equipos relacionados con la seguridad de la información
Desarrollo de software, incluyendo la adquisición de desarrollos especiales de “software a medida” o módulos adaptados a las necesidades de la Organización.
Mantenimiento de equipos o consultoría especializada.
Para delegar estas actividades es recomendable que los contratos celebrados entre las áreas tecnológicas o de seguridad de la información con Terceras Partes en quienes se delegarán servicios contemplen, entre otros de forma, los siguientes puntos:
Alcance de las actividades;
Niveles mínimos de prestación de servicio y su tipo / condiciones del servicio brindado;
Informar sobre la participación de subcontratistas, e incluirlos en los anexos de nómina
Resultado del análisis de riesgo efectuado sobre los procedimientos, para establecer el Riesgo Operativo asociado al Servicio.
Los mecanismos de notificación de cambios en el control accionario;
Los mecanismos de notificación de cambios de niveles gerenciales;
Resarcimiento hacia la Organización por daños económicos que causará el proveedor por:
No cumplir con fechas de implementación
Fallas del sistema que generen daños patrimoniales a la Organización
Demora en la entrega de la información a presentar a la Organización y que este Presente tarde la información al Ente respectivo
Información errónea presentada a la Organización y que presente daños de imagen o económicos para la Organización
El procedimiento por el cual las áreas tecnológicas y de seguridad de la Organización pueda obtener los datos, los programas fuentes, los manuales y la documentación técnica de los sistemas, ante cualquier situación que pudiera sufrir el proveedor por la cual dejara de prestar sus servicios o de operar en el mercado, a fin de poder asegurar la continuidad de procesamiento.
Un plan de contingencia del proveedor con el fin de no cesar en sus actividades normales y asegurar la continuidad del procesamiento ante cualquier situación que pudiera sufrir.
Mantener archivos de auditoria, tanto para acceso de la Organización o de auditorias externas.
Entre las Gerencias de Tecnología y de Seguridad de la Información deben definir los planes de control y monitoreo de las actividades delegadas, los cuales se ejecutarán con una periodicidad acorde al nivel de criticidad de la actividad. Los planes deben estar alineados a lo establecido por la Política de Seguridad de la Información y su ejecución debe ser documentada. La documentación de la ejecución de los controles debe resguardarse por un período no inferior a 2 años, o de acuerdo a lo indicado por el marco regulatorio de la Organización.
Aspectos y requisitos contractuales relacionados con la Seguridad de la Información
Contar con una cláusula de confidencialidad
Incluir las penalidades relacionadas con la divulgación total o parcial de la información confiada
Incluir una clausula de responsabilidad por la integridad de los datos ante errores de operación
Incluir el conocimiento y consentimiento de las Políticas de Seguridad de la Organización por parte del proveedor
En el caso de tercerización de operaciones, debe acompañarse documentación relacionada a entregar al proveedor (normas, procedimientos, manuales, y documentación de soporte como checklist) e incluir su inventario en el contrato como “Anexo Técnico”
Exigir contractualmente evaluaciones de vulnerabilidad y pentest.
Exigir contractualmente la existencia de una estrategia de gestión de riesgos
Contemplar el derecho a realizar auditorías en las instalaciones del proveedor y a sus procesos asociados al servicio contratado, por parte de la Organización o de empresas contratadas para tal fin
Contemplar que cualquier Entidad Regulatoria (Nacional o Internacional) pueda acceder sin limitación, en cuanto a: el acceso a los datos y a toda documentación técnica relacionada (metodología del servicio, procedimientos internos del proveedor, etc.) y a la realización de auditorías periódicas en las instalaciones del proveedor. a definir por la Organización.
En concreto el contrato de prestación de servicios debe suscribir como mínimo las siguientes clausulas orientadas a la seguridad de la información:
Régimen de los datos. Es esencial que el contrato especifique que el proveedor no puede disponer de los datos ni hacer uso de los mismos para ningún fin que no esté expresamente autorizado por la Organización. En caso que se trate de datos personales también es necesario el consentimiento del titular de los datos.
Cumplimiento de legislación de protección de datos de carácter personal y tarjeta-habiente. El proveedor ha de asumir expresamente el papel de encargado del tratamiento de datos que la Organización decida trasladar al CPD del Proveedor (sea el caso de servicios de housing/hosting o bien de cloud computing), con todas las obligaciones propias de tal figura tal y como se recogen en la Legislación Argentina. Además si el proveedor almacena la información de carácter personal en sistemas ubicados fuera de la República Argentina, ha de asumir las obligaciones que al encargado del tratamiento de datos de carácter personal le impone la Legislación Argentina, con independencia de la jurisdicción aplicable al territorio en el que se localizan los centros de proceso de datos.
Seguridad en el acceso. El proveedor ha de garantizar que la información solo será accesible a la Organización, y a quien él determine con los perfiles de acceso correspondientes. En caso de que la Organización trate datos especialmente protegidos, se incluirán cláusulas que garanticen su tratamiento con las medidas de seguridad que sean exigibles.
Integridad y conservación. El proveedor debe disponer de los mecanismos de recuperación ante desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información.
Disponibilidad. El proveedor debe garantizar una elevada disponibilidad del servicio, así como comprometerse a organizar las paradas programadas para mantenimiento con la suficiente antelación y dando aviso de las mismas al despacho.
Portabilidad. El proveedor ha de obligarse, a la terminación del servicio, a entregar toda la información a la Organización en el formato que se acuerde, para que éste pueda almacenarla en sus propios sistemas o bien trasladarla a los de un nuevo proveedor, en el plazo más breve posible y con total garantía de la integridad de la información.
Consecuencias para el caso de incumplimiento del proveedor. La falta de cumplimiento o el cumplimento diligente de las garantías ofrecidas a la Organización para la protección de datos por parte del proveedor permitirá excluir la responsabilidad de la Organización.
Aspectos y requisitos funcionales
Al evaluar el contrato y antes de su firma, tanto la Organización como el prestador de servicios
deben solicitar y ofrecer información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de los datos, intercambiando información sobre la naturaleza de los mismos para establecer un nivel de seguridad apropiado.
El proveedor debe garantizar la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica.
El proveedor debe demostrar mecanismos seguros de autenticación para el acceso a la información.
El proveedor debe garantizar el cifrado de los datos almacenados dando a conocer a la Organización el nivel de seguridad ofrecido por las técnicas de cifrado de la información que aplique en sus sistemas
Se debe acordar el procedimiento de recuperación y migración de los datos a la terminación de la relación entre la Organización y el proveedor; así como el mecanismo de borrado de los datos por parte del proveedor una vez que estos han sido transferidos a la Organización o al nuevo proveedor designado por éste.
Solicitar al proveedor que su encargado del tratamiento establezca un registro de los accesos realizados a los datos críticos
En el caso de que no sea posible verificar directamente las medidas de seguridad del prestador de servicios, contemplar garantías alternativas que cumplan el mismo objetivo, como por ejemplo:
La intervención de un tercero independiente que audite las medidas de seguridad implantadas.
Contemplar que el proveedor posea una certificación SAS70, ISO 27001 o alguna que certifique el nivel de seguridad necesario, y solicitar los resultados de las auditorías periódicas de la certificación
Solicitar al proveedor la información relativa a su Sistema de Gestión de Incidentes de Seguridad, para que sean puestos en conocimiento a la Organización junto con las medidas adoptadas para corregir los daños producidos y evitar que se reproduzcan dichos incidentes.
Condiciones para el control y registro
Para acreditar que los procedimientos y medidas de seguridad aplicados al servicio a contratar cumplen con los distintos estándares y normas legales y pueda establecerse una metodología de monitoreo y control del servicio, la Organización debe tener acceso a un conjunto de documentos que especifiquen, como mínimo, los siguientes aspectos:
Ámbito de aplicación del conjunto de documentos (Marco Normativo del proveedor) con especificación detallada de los recursos protegidos.
Políticas, normas, procedimientos de actuación, reglas y estándares utilizados para garantizar el nivel de seguridad exigido en la normativa aplicable de protección de datos.
Procedimientos establecidos para comunicar los resultados de las auditorías exigidas por los estándares y normas aplicados a los ficheros tratados.
Funciones y obligaciones del personal en relación con el tratamiento de los datos.
En caso que el servicio incluya el alojamiento y tratamiento de datos personales, estructura de los ficheros y descripción de los sistemas de información que tratan los datos.
Procedimiento de notificación, gestión y respuesta ante incidentes.
Procedimientos de realización de copias de respaldo y de recuperación de los datos
Las medidas de seguridad que se adoptan en el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
Departamento o persona responsable de la aplicación de los procedimientos y medidas de seguridad.
Procedimiento establecido para acceder al registro de acceso a los datos cuando sean exigibles medidas de seguridad de nivel alto.
En referencia a los controles y dependiendo del tipo de servicio, además de solicitar la evidencia de los procesos documentados debemos establecer un monitoreo de cumplimiento por parte del proveedor. Para ello puede establecerse un monitoreo de cumplimiento por tipo de servicio contratado, como por ejemplo en los asociados al Cloud Computing:
Y como adicional a lo ya indicado:
Verificar periódicamente la gestión de terceros del Proveedor
Auditar políticas, procesos y procedimientos de continuidad del proveedor y sus evaluaciones realizadas a terceros
Verificar el Marco Normativo y su cumplimiento en la gestión del servicio
Información regulatoria sobre el almacenamiento de datos
La Organización es responsable del tratamiento cuando contrate servicios de Terceras Partes y por ello debe velar porque el proveedor de servicios cumpla las regulaciones que le apliquen a la Organización, por ejemplo SOX, PCI, BCRA, incluyendo la legislación sobre protección de datos personales (Ley de Habeas Data N° 25.326). Por tanto, las garantías exigibles son las establecidas en las Leyes y sus reglamentaciones.
Para el caso de Cloud Computing, por ejemplo, como posiblemente los datos no se almacenen en territorio argentino sino en un tercer país, el artículo 12 de la Ley de Habeas Data prevé la transferencia de datos personales a países terceros indicando que la transferencia ha de limitarse a naciones en las que los datos cuenten con lo que se define como “un nivel de protección adecuado”
Recomendaciones finales
Bien, para finalizar les dejo algunas recomendaciones adicionales:
Desarrollar una matriz de responsabilidad compartida entre el proveedor y la Organización
Asegurar la intervención interdisciplinaria de diferentes sectores de la Organización en sus proyectos (Legales, Tecnología, Seguridad Informática, Desarrollo, Facilities, etc.)
Orientar la selección a proveedores certificados
Ejecutar los controles y gestión de riesgos en forma continua
Mitigar los riesgos a través de contratos y SLAs orientados a los Controles y Gestión de Riesgo
Robustecer la seguridad en base a las capacidades del proveedor, y así reducir la carga “local” de cumplimiento al compartirla con el éste.
Fabián Descalzo.