La formación electrónica gratuita ayuda a subcontratar de forma segura los servicios de TI
Curso «Subcontratación segura con ayuda de E-ITS» enseña cómo evaluar los riesgos relacionados con la subcontratación, ayuda a preparar el contenido de los contratos y también comparte otros consejos que se utilizan al subcontratar servicios de TI.
La subcontratación permite a las empresas o instituciones centrarse en sus actividades principales, mejorando la eficiencia y reduciendo costes. La ayuda externa se puede utilizar, por ejemplo, para mantener equipos informáticos, alojar datos, utilizar software de recursos humanos y contabilidad, crear un sitio web, etc.
Al mismo tiempo, es extremadamente importante que se tengan en cuenta los posibles riesgos y se cumplan los requisitos de seguridad a la hora de subcontratar el servicio. «La seguridad de la cadena de suministro se ha convertido en un tema cada vez más importante en todo el mundo en los últimos años. También en Estonia se han producido varios ciberataques graves a través de proveedores externos de servicios informáticos y de contabilidad», afirmó el jefe del departamento estatal de medidas de seguridad de la información en RIA. Lluvia Ojastu.
Para reducir los riesgos, al subcontratar, es necesario pensar detenidamente en todo el ciclo de vida del servicio, desde su creación hasta el final de la cooperación con un socio externo. «Es necesario acordar desde el principio en qué consiste el servicio, cómo se evaluará el resultado, cómo se abordará la interrupción del servicio u otras situaciones de emergencia y cómo se considerará la subcontratación. La subcontratación de un servicio requiere una cooperación constante con un socio externo para garantizar la sostenibilidad del servicio y la compatibilidad con la arquitectura de TI de la organización», explicó Ojastu.
En acuerdos anteriores, las acusaciones generalmente solo comienzan cuando algo sale mal: se filtran datos personales confidenciales, la base de datos se destruye debido a una falla técnica o los sistemas se cifran con ransomware y resulta que no hay copias de seguridad. Como consecuencia del incidente, la actividad económica de la empresa puede pararse, no se pueden pagar las facturas y los salarios de los empleados y, en el caso de los datos de salud, incluso la salud y la vida de las personas pueden correr peligro.
Por lo tanto, es necesario anotar exactamente qué se espera del proveedor de servicios y dónde discurre el límite entre las actividades del proveedor de servicios y el socio; sólo cuando los límites de responsabilidad son claros, es posible evaluar y mitigar adecuadamente los riesgos. . También es necesario acordar el nivel de servicio requerido, es decir, qué confiabilidad y velocidad de respuesta puede esperar del socio. Cuanto más abstracta y vaga sea la expectativa, más vago será el contrato.
La formación electrónica preparada bajo la dirección de RIA es gratuita y los interesados pueden realizarla en su propio horario. en la plataforma de aprendizaje de Digiriigi Academy.
Al subcontratar se debe considerar, entre otras cosas:
- Las instalaciones del proveedor de servicios seguridad física.
- Recursos humanos – los empleados del proveedor de servicios pueden necesitar permanecer en las instalaciones del cliente, por ejemplo, para el mantenimiento del equipo, etc. Los empleados que trabajen en las instalaciones del cliente durante un breve periodo de tiempo serán tratados como huéspedes.
- Proveedores de servicios alternativos – el cliente también tiene una visión general de otras empresas que ofrecen servicios en el mismo campo. Si no hay sustitución, es necesario un plan de acción en caso de fallo, lo que también puede conducir a la rescisión anticipada del contrato.
- Uso de subcontratistas – si se trata de subcontratistas, es necesario decidir cuánta y qué información el proveedor de servicios debe proporcionar al cliente sobre ellos y si se deben realizar controles de antecedentes y en qué medida.
- Idoneidad del proveedor del servicio. – a la hora de elegir un proveedor de servicios, se debe tener en cuenta la idoneidad del servicio y su cumplimiento de los requisitos de seguridad del cliente, la reputación y las recomendaciones del proveedor, las cualificaciones del personal y, en el caso de una empresa extranjera, también la cultura empresarial. juzgado.
- Terminación del servicio – al final del ciclo de vida del servicio, debe haber un procedimiento claro para transferir información y activos, incluidos datos y registros. También es necesario pensar en cómo garantizar la continuidad del servicio si no hay proveedores de servicios alternativos disponibles.