Confía, pero verifique. Ese es un buen consejo en muchos contextos, incluso en su enfoque de las empresas que contrata para procesar datos confidenciales en su posesión. Incluso si una violación finalmente se remonta a la conducta de un proveedor de servicios, desde la perspectiva de un cliente o empleado cuya información personal se ha comprendido, el dinero se detiene con usted. Es por eso que comienza con la seguridad advierte a las empresas que se aseguren de que sus proveedores de servicios implementen medidas de seguridad razonables.
Antes de traer a los proveedores de servicios a bordo, explique lo que espera en términos de seguridad. Satisfacerse de que tienen las habilidades técnicas para hacer el trabajo. Construya los procedimientos para que pueda monitorear lo que están haciendo en su nombre. Y asegúrese de que sigan sus promesas.
Extraído de las acciones de aplicación de la ley de la FTC, las investigaciones y las preguntas que recibimos de las empresas, aquí hay algunos ejemplos que ilustran los pasos que puede tomar para alentar a sus proveedores de servicios a comenzar con la seguridad, y seguirlo.
Haz tu debida diligencia.
No compraría un automóvil usado antes de revisar el capó y no compraría una casa basada únicamente en la promesa del vendedor de que está en condiciones de primer nivel. La seguridad de los datos no es diferente. La información es a menudo uno de los activos más importantes que tiene una empresa. Antes de ponerlo en el control de otra persona, asegúrese de saber cómo se utilizará y asegurará esa información.
Ejemplo: Una empresa está buscando contratar a un contratista para manejar su procesamiento de datos. Recibe ofertas de dos contratistas, una con un nombre reconocido en el campo y un recién llegado que cobra significativamente menos. En lugar de simplemente optar por la marca establecida o el postor bajo, la compañía hace a ambos contratistas preguntas detalladas sobre, entre otras cosas, cómo asegurará los datos de la compañía, quién tendrá acceso a los datos y cómo capacitará su empleados para mantener los datos de forma segura. La compañía debe otorgar el contrato solo si está satisfecho con las respuestas que ha recibido. Incluso entonces, la compañía debe incluir disposiciones específicas en su contrato que requieran seguridad razonable.
Ponlo por escrito.
La seguridad de los datos es demasiado importante para relegarla a un trato vago de "simplemente sacudirlo". Ambas partes se benefician cuando las expectativas, los estándares de rendimiento y los métodos de monitoreo se reducen a la escritura en el contrato.
Ejemplo: Una empresa contrata a un proveedor de servicios para enviar estados de facturación mensuales a los clientes. La compañía le da al proveedor de servicios acceso a la información de la cuenta, incluidos los métodos de pago preferidos de los clientes, y el proveedor de servicios crea una hoja de cálculo de los datos. El contrato entre la empresa y el proveedor de servicios no incluye ningún requisito para mantener una seguridad razonable. El proveedor de servicios no tiene firewalls en su lugar, no cifra datos en reposo o en tránsito, y no implementa registros del sistema o un sistema de detección de intrusos. Al no exigir una seguridad razonable en el contrato y no especificar las medidas de seguridad que el proveedor de servicios debe establecer, la compañía perdió la oportunidad de salvaguardar la información confidencial de sus clientes.
Ejemplo: Una agencia nacional de personal recluta empleados de todo el país para trabajar desde casa para realizar la entrada de datos. La compañía contrata a contratistas regionales de recursos humanos para ayudar a los nuevos empleados a completar su documentación inicial de personal. Los contratistas de recursos humanos van a las casas de los nuevos empleados para que completen los formularios apropiados, que contienen información personal confidencial, incluidos los números de seguridad social. Los contratistas de recursos humanos fotografian los formularios y luego usan las computadoras personales de los nuevos empleados para cargar y enviar la información por correo electrónico a la agencia de personal. La mejor práctica sería que la agencia de personal especifique en su contrato un método más seguro para transmitir la información y contactar al contratista de recursos humanos de inmediato si los datos confidenciales se envían contra la infracción de esa disposición.
Verificar el cumplimiento.
Usted considera su cambio, confirma las reservas de su hotel y revisas el estado de cuenta de tu tarjeta de crédito. La doble verificación solo tiene sentido. Es por eso que las empresas cuidadosas verifican que los proveedores de servicios cumplan con las disposiciones de contratos relacionadas con la seguridad.
Ejemplo: Un minorista que vende equipos de campamento contrata a una empresa para desarrollar una aplicación con información sobre senderos. El minorista tiene la intención de comercializar la aplicación con la afirmación de que no recopilará datos de geolocalización a menos que el usuario opte afirmativamente y el minorista incluye una cláusula en ese sentido en su contrato con el desarrollador de aplicaciones. Antes de lanzar la aplicación, el minorista la prueba y determina que la aplicación recopila información de geolocalización de todos los usuarios y la transmite a una red publicitaria. Al explicar sus expectativas en el contrato y las pruebas para ver que el desarrollador los ha honrado, el minorista puede corregir el problema antes de que se publique la aplicación.
El mensaje a las empresas centradas en la seguridad es desarrollar sus expectativas en sus contratos con proveedores de servicios que tendrán acceso a información confidencial. Además, asegúrese de tener una forma de monitorear lo que están haciendo en su nombre.
Siguiente en la serie: Establezca procedimientos para mantener su seguridad actual y abordar las vulnerabilidades que pueden surgir.
