Consideraciones relacionadas con la responsabilidad sobre el tratamiento de los datos, normativa, seguridad y confidencialidad de los datos y aspectos esenciales del contrato de servicios desde el punto de vista técnico/funcional relacionado con la seguridad de la información
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Principales aspectos y requisitos en contratos de servicios tenologicos
1. Principales Aspectos y Requisitos en la
Contratación de Servicios Tecnológicos
Asegurando el Gobierno de Seguridad de la Información
Consideraciones relacionadas con la responsabilidad sobre el tratamiento de los datos, normativa, seguridad y
confidencialidad de los datos y aspectos esenciales del contrato de servicios desde el punto de vista
técnico/funcional relacionado con la seguridad de la información
2. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos
Contenido
Delegación de actividades, no de responsabilidad ................................................................................................ 2
Aspectos y requisitos contractuales relacionados con la Seguridad de la Información: ....................................... 3
Aspectos y requisitos funcionales .......................................................................................................................... 4
Condiciones para el control y registro ................................................................................................................... 5
Información regulatoria sobre el almacenamiento de datos ................................................................................ 6
Recomendaciones finales ...................................................................................................................................... 7
Fabian Descalzo
1
3. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos
Fabian Descalzo
2
Delegación de actividades, no de responsabilidad
Definir un adecuado mecanismo de delegación de actividades propias de las
áreas tecnológicas y de seguridad de la información hacia Terceras Partes,
requiere de un enfoque práctico bajo el cual se establezcan pautas para
facilitar la interlocución con los proveedores de servicios tecnológicos, el
control sobre su gestión operativa y la revisión del cumplimiento regulatorio.
La delegación de la operación no implica una delegación de responsabilidad,
por lo cual aquello que dejemos de Operar/Administrar debemos
Controlarlo/Auditarlo. Adicionalmente, no deben tercerizarse actividades
con proveedores que a su vez tengan contratada la función de auditoría
interna y/o externa de dichas actividades.
¿Qué actividades son las que se delegan habitualmente?
1. Administración, transmisión y/o procesamiento de datos
2. Administración de servicios o equipos relacionados con la seguridad de la información
3. Desarrollo de software, incluyendo la adquisición de desarrollos especiales de “software a
medida” o módulos adaptados a las necesidades de la Organización.
4. Mantenimiento de equipos o consultoría especializada.
Para delegar estas actividades es recomendable que los contratos celebrados entre las áreas tecnológicas o de
seguridad de la información con Terceras Partes en quienes se delegarán servicios contemplen, entre otros de
forma, los siguientes puntos:
1. Alcance de las actividades;
2. Niveles mínimos de prestación de servicio y su tipo / condiciones del servicio brindado;
3. Informar sobre la participación de subcontratistas, e incluirlos en los anexos de nómina
4. Resultado del análisis de riesgo efectuado sobre los procedimientos, para establecer el Riesgo
Operativo asociado al Servicio.
5. Los mecanismos de notificación de cambios en el control accionario;
6. Los mecanismos de notificación de cambios de niveles gerenciales;
7. Resarcimiento hacia la Organización por daños económicos que causará el proveedor por:
· No cumplir con fechas de implementación
· Fallas del sistema que generen daños patrimoniales a la Organización
· Demora en la entrega de la información a presentar a la Organización y que este Presente
tarde la información al Ente respectivo
· Información errónea presentada a la Organización y que presente daños de imagen o
económicos para la Organización
8. El procedimiento por el cual las áreas tecnológicas y de seguridad de la Organización pueda
obtener los datos, los programas fuentes, los manuales y la documentación técnica de los
sistemas, ante cualquier situación que pudiera sufrir el proveedor por la cual dejara de prestar sus
servicios o de operar en el mercado, a fin de poder asegurar la continuidad de procesamiento.
9. Un plan de contingencia del proveedor con el fin de no cesar en sus actividades normales y
asegurar la continuidad del procesamiento ante cualquier situación que pudiera sufrir.
10. Mantener archivos de auditoría, tanto para acceso de la Organización o de auditorías externas.
4. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos
Entre las Gerencias de Tecnología y de Seguridad de la Información deben definir los planes de control y
monitoreo de las actividades delegadas, los cuales se ejecutarán con una periodicidad acorde al nivel de
criticidad de la actividad. Los planes deben estar alineados a lo establecido por la Política de Seguridad de la
Información y su ejecución debe ser documentada. La documentación de la ejecución de los controles debe
resguardarse por un período no inferior a 2 años, o de acuerdo a lo indicado por el marco regulatorio de la
Organización.
Fabian Descalzo
3
Aspectos y requisitos contractuales relacionados con la Seguridad de la
Información:
• Contar con una cláusula de confidencialidad
• Incluir las penalidades relacionadas con la divulgación total o parcial de la información confiada
• Incluir una clausula de responsabilidad por la integridad de los datos ante errores de operación
• Incluir el conocimiento y consentimiento de las Políticas de Seguridad de la Organización por parte del
proveedor
• En el caso de tercerización de operaciones, debe acompañarse documentación relacionada a entregar
al proveedor (normas, procedimientos, manuales, y documentación de soporte como checklist) e
incluir su inventario en el contrato como “Anexo Técnico”
• Exigir contractualmente evaluaciones de vulnerabilidad y pentest.
• Exigir contractualmente la existencia de una estrategia de gestión de riesgos
• Contemplar el derecho a realizar auditorías en las instalaciones del proveedor y a sus procesos
asociados al servicio contratado, por parte de la Organización o de empresas contratadas para tal fin
• Contemplar que cualquier Entidad Regulatoria (Nacional o Internacional) pueda acceder sin limitación,
en cuanto a: el acceso a los datos y a toda documentación técnica relacionada (metodología del
servicio, procedimientos internos del proveedor, etc.) y a la realización de auditorías periódicas en las
instalaciones del proveedor. a definir por la Organización.
En concreto el contrato de prestación de servicios debe suscribir como mínimo las
siguientes clausulas orientadas a la seguridad de la información:
• Régimen de los datos. Es esencial que el contrato especifique que el proveedor
no puede disponer de los datos ni hacer uso de los mismos para ningún fin
que no esté expresamente autorizado por la Organización. En caso que se
trate de datos personales también es necesario el consentimiento del titular
de los datos.
• Cumplimiento de legislación de protección de datos de carácter personal y tarjeta-habiente. El
proveedor ha de asumir expresamente el papel de encargado del tratamiento de datos que la
Organización decida trasladar al CPD del Proveedor (sea el caso de servicios de housing/hosting o bien
de cloud computing), con todas las obligaciones propias de tal figura tal y como se recogen en la
5. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos
Legislación Argentina. Además si el proveedor almacena la información de carácter personal en
sistemas ubicados fuera de la República Argentina, ha de asumir las obligaciones que al encargado del
tratamiento de datos de carácter personal le impone la Legislación Argentina, con independencia de la
jurisdicción aplicable al territorio en el que se localizan los centros de proceso de datos.
• Seguridad en el acceso. El proveedor ha de garantizar que la información solo será accesible a la
Organización, y a quien él determine con los perfiles de acceso correspondientes. En caso de que la
Organización trate datos especialmente protegidos, se incluirán cláusulas que garanticen su
tratamiento con las medidas de seguridad que sean exigibles.
• Integridad y conservación. El proveedor debe disponer de los mecanismos de recuperación ante
desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y
conservación de la información.
Fabian Descalzo
4
• Disponibilidad. El proveedor debe garantizar una
elevada disponibilidad del servicio, así como
comprometerse a organizar las paradas programadas
para mantenimiento con la suficiente antelación y
dando aviso de las mismas al despacho.
• Portabilidad. El proveedor ha de obligarse, a la
terminación del servicio, a entregar toda la
información a la Organización en el formato que se
acuerde, para que éste pueda almacenarla en sus
propios sistemas o bien trasladarla a los de un nuevo
proveedor, en el plazo más breve posible y con total
garantía de la integridad de la información.
• Consecuencias para el caso de incumplimiento del
proveedor. La falta de cumplimiento o el
cumplimento diligente de las garantías ofrecidas a la
Organización para la protección de datos por parte
del proveedor permitirá excluir la responsabilidad de
la Organización.
Aspectos y requisitos funcionales
• Al evaluar el contrato y antes de su firma, tanto la Organización como el prestador de servicios deben
solicitar y ofrecer información detallada sobre las medidas que vayan a garantizar la seguridad y
confidencialidad de los datos, intercambiando información sobre la naturaleza de los mismos para
establecer un nivel de seguridad apropiado.
• El proveedor debe garantizar la conservación de los datos, mediante la realización de copias de
seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica.
• El proveedor debe demostrar mecanismos seguros de autenticación para el acceso a la información.
• El proveedor debe garantizar el cifrado de los datos almacenados dando a conocer a la Organización el
6. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos
nivel de seguridad ofrecido por las técnicas de cifrado de la información que aplique en sus sistemas
• Se debe acordar el procedimiento de recuperación y migración de los datos a la terminación de la
relación entre la Organización y el proveedor; así como el mecanismo de borrado de los datos por
parte del proveedor una vez que estos han sido transferidos a la Organización o al nuevo proveedor
designado por éste.
• Solicitar al proveedor que su encargado del tratamiento establezca un registro de los accesos
Fabian Descalzo
5
realizados a los datos críticos
• En el caso de que no sea posible verificar directamente las medidas de seguridad del prestador de
servicios, contemplar garantías alternativas que cumplan el mismo objetivo, como por ejemplo:
o La intervención de un tercero independiente que audite las medidas de seguridad
implantadas.
o Contemplar que el proveedor posea una certificación SAS70, ISO 27001 o alguna que
certifique el nivel de seguridad necesario, y solicitar los resultados de las auditorías periódicas
de la certificación
• Solicitar al proveedor la información relativa a su Sistema de Gestión de Incidentes de Seguridad, para
que sean puestos en conocimiento a la Organización junto con las medidas adoptadas para corregir
los daños producidos y evitar que se reproduzcan dichos incidentes.
Condiciones para el control y registro
Para acreditar que los procedimientos y medidas de seguridad aplicados al servicio a contratar
cumplen con los distintos estándares y normas legales y pueda establecerse una metodología
de monitoreo y control del servicio, la Organización debe tener acceso a un conjunto de
documentos que especifiquen, como mínimo, los siguientes aspectos:
• Ámbito de aplicación del conjunto de documentos (Marco Normativo del proveedor) con
especificación detallada de los recursos protegidos.
• Políticas, normas, procedimientos de actuación, reglas y estándares utilizados para garantizar el nivel
de seguridad exigido en la normativa aplicable de protección de datos.
• Procedimientos establecidos para comunicar los resultados de las auditorías exigidas por los
estándares y normas aplicados a los ficheros tratados.
• Funciones y obligaciones del personal en relación con el tratamiento de los datos.
• En caso que el servicio incluya el alojamiento y tratamiento de datos personales, estructura de los
ficheros y descripción de los sistemas de información que tratan los datos.
• Procedimiento de notificación, gestión y respuesta ante incidentes.
• Procedimientos de realización de copias de respaldo y de recuperación de los datos
• Las medidas de seguridad que se adoptan en el transporte de soportes y documentos, así como para
7. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos
Fabian Descalzo
6
la destrucción de los documentos y soportes, o en su caso, la reutilización
de estos últimos.
• Departamento o persona responsable de la aplicación de los
procedimientos y medidas de seguridad.
• Procedimiento establecido para acceder al registro de acceso a los datos
cuando sean exigibles medidas de seguridad de nivel alto.
En referencia a los controles y dependiendo del tipo de servicio, además de
solicitar la evidencia de los procesos documentados debemos establecer un
monitoreo de cumplimiento por parte del proveedor. Para ello puede
establecerse un monitoreo de cumplimiento por tipo de servicio contratado,
como por ejemplo en los asociados al Cloud Computing:
IaaS PaaS SaaS
• Seguridad física
• Red y cifrado
• Partes de la seguridad sobre el
hardware (actualizaciones de
firmware, etc.)
• Seguridad en la plataforma de
las aplicaciones
• Seguridad física
• Red y cifrado
• Gestión de claves
• Seguridad lógica
• Política de seguridad
• Seguridad física
• Red y cifrado
• Gestión de claves
• Seguridad lógica
• Partes de seguridad de las
aplicaciones (parches,
actualización de versiones, etc.)
Y como adicional a lo ya indicado:
• Verificar periódicamente la gestión de terceros del Proveedor
• Auditar políticas, procesos y procedimientos de continuidad del proveedor y sus evaluaciones
realizadas a terceros
• Verificar el Marco Normativo y su cumplimiento en la gestión del servicio
Información regulatoria sobre el almacenamiento de datos
La Organización es responsable del tratamiento cuando contrate servicios
de Terceras Partes y por ello debe velar porque el proveedor de servicios
cumpla las regulaciones que le apliquen a la Organización, por ejemplo SOX,
PCI, BCRA, incluyendo la legislación sobre protección de datos personales
(Ley de Habeas Data N° 25.326). Por tanto, las garantías exigibles son las
establecidas en las Leyes y sus reglamentaciones.
Para el caso de Cloud Computing, por ejemplo, como posiblemente los datos no se almacenen en territorio
argentino sino en un tercer país, el artículo 12 de la Ley de Habeas Data prevé la transferencia de datos
personales a países terceros indicando que la transferencia ha de limitarse a naciones en las que los datos
cuenten con lo que se define como “un nivel de protección adecuado”
8. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos
Fabian Descalzo
7
Recomendaciones finales
Bien, para finalizar les dejo algunas recomendaciones adicionales:
• Desarrollar una matriz de responsabilidad compartida entre el proveedor y la Organización
• Asegurar la intervención interdisciplinaria de diferentes sectores de la Organización en sus proyectos
(Legales, Tecnología, Seguridad Informática, Desarrollo, Facilities, etc.)
• Orientar la selección a proveedores certificados
• Ejecutar los controles y gestión de riesgos en forma continua
• Mitigar los riesgos a través de contratos y SLAs orientados a los Controles y Gestión de Riesgo
• Robustecer la seguridad en base a las capacidades del proveedor, y así reducir la carga “local” de
cumplimiento al compartirla con el proveedor
9. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos
Fabian Descalzo
8
Fabián Descalzo
Es Gerente de Governance, Risk Compliance (GRC) en Cybsec,
Director Certificado en Seguridad de la Información (CAECE), certificado
ITIL v3-2011 y auditor ISO 20000. Posee amplia experiencia en la
implementación y cumplimiento de Leyes y Normativas Nacionales e
Internacionales en compañías de primer nivel de diferentes áreas de
negocio en la optimización y cumplimiento de la seguridad en sistemas
de información, Gobierno de TI/SI y Continuidad del Negocio.
Actualmente es responsable de servicios y soluciones en las áreas de
Gobierno, Riesgos y Cumplimiento asociados al aseguramiento del
Negocio.