[09/11/2020] La adopción de las ofertas de SaaS (software como servicio) se aceleró este año debido al cambio a gran escala hacia el trabajo a distancia impulsado por la pandemia COVID-19. Esta tendencia ha aumentado la exposición de las empresas a las amenazas cibernéticas, y ha puesto de relieve los factores de seguridad y de riesgo que las organizaciones deben tener en cuenta al negociar los contratos de software como servicio (SaaS).
Gartner espera que el mercado general de servicios públicos en la nube crezca un 6,3% este año hasta alcanzar los 257.900 millones de dólares, frente a los 242.700 millones del año pasado. Se espera que el segmento de SaaS en sí mismo supere los 104.600 millones de dólares, frente a los aproximadamente 102 mil millones del año pasado, al menos en parte debido al aumento de la necesidad de nuevas herramientas de colaboración durante la pandemia.
A medida que la adopción de los servicios SaaS ha aumentado, también lo han hecho las preocupaciones sobre posibles problemas de seguridad. En una reciente encuesta de AppOmni realizada a 200 profesionales de TI, el 66% de los encuestados dijo que tenía menos tiempo para asegurar sus aplicaciones SaaS después de COVID-19, a pesar de que creía que el entorno SaaS de su empresa los ponía en mayor riesgo de tener una interrupción del negocio.
"La mayor parte de la discusión desde la perspectiva de la seguridad gira en torno a la protección de datos y lo que sucede cuando se produce un evento en el que la disponibilidad o los datos se ven comprometidos", comenta Daniel Kennedy, analista del Grupo 451.
Aquí, según Kennedy y otros, hay cinco consideraciones clave que deben tenerse en cuenta al negociar los contratos SaaS para garantizar que los factores de riesgo y seguridad se aborden adecuadamente.
1. Crear una lista maestra de riesgos relevantes para su organización
No hay un enfoque único para negociar las cláusulas de seguridad en los acuerdos SaaS. Mucho de lo que necesita (y puede) hacer depende del contexto. El tamaño de su organización, y el del proveedor de SaaS, es crítico. Por lo general, cuanto más grande sea usted, y cuanto mayor sea su adquisición de servicios planificada, mejor será su apalancamiento.
Antes de negociar con un proveedor SaaS, o incluso durante la etapa de solicitud de propuestas, considere el uso previsto del sistema. Por ejemplo, si planea utilizar el sistema SaaS para gestionar las relaciones con los clientes de su organización, entonces debe centrarse en cómo el proveedor SaaS protegerá los datos de los clientes, y cómo asegurará la estabilidad y fiabilidad del sistema, señala Luke Ellery, director senior de investigación de Gartner. Por otra parte, si el sistema SaaS que planea utilizar está más enfocado internamente, como un sistema de gestión del aprendizaje, los datos son menos sensibles y el servicio no es probablemente crítico para el negocio, anota.
"La mejor práctica es tener una lista maestra de riesgos como los de seguridad, privacidad, geográficos, normativos, de continuidad de negocio y de recuperación de desastres", indica Ellery. "A continuación, se debe adoptar un enfoque de triaje para que el proveedor se ocupe de los riesgos que se aplican a sus servicios".
2. Comunicar lo que no es negociable a las partes interesadas
En muchas organizaciones, se recurre a los grupos de seguridad solo al final del proceso de negociación, cuando hay poco espacio, o tiempo, para introducir cambios sustanciales. Por lo tanto, es importante asegurarse de que el equipo de adquisiciones conozca y abarque al menos las cuestiones de seguridad fundamentales y no negociables en torno a la protección de datos al comienzo de las negociaciones.
Los CISO deben colaborar con los líderes de TI y de las empresas para considerar el apetito de riesgo de sus organizaciones. También deben tener en cuenta todos los requisitos normativos y de la industria al determinar lo que no es negociable en sus acuerdos SaaS, anota Ellery. "Éstos pueden utilizarse como criterios de precalificación de proveedores".
Por ejemplo, un buen criterio de precalificación podría ser la necesidad de que todos los datos estén cifrados en tránsito y en reposo, o que todos los datos se almacenen dentro de un país o geografía específica. La inclusión de esos criterios por adelantado proporciona claridad al proveedor sobre sus expectativas, añade Ellery.
Por lo general, todo lo que tenga que ver con la disponibilidad, resistencia y confidencialidad de sus datos no debe ser negociable, añade Vikram Kunchala, director de la práctica de Ciber y Riesgos de Deloitte. Una vez más, mucho depende de para qué se planea usar el proveedor de SaaS, señala. Su riesgo aumenta dependiendo de la criticidad de los datos involucrados. Por lo tanto, el objetivo debe ser asegurar que su proveedor tenga las capacidades adecuadas para proteger sus datos.
Certificaciones como SOC 2 Tipo II, ISO 27001, ISO 22301 y CSA CCM son indicadores relativamente confiables de la adherencia de un proveedor de SaaS a las mejores prácticas de seguridad aceptadas. Verifique que su proveedor esté acreditado para tales estándares cuando seleccione uno.
"SaaS" es un área bastante amplia. Puedo tener SaaS para CRM, puedo tener SaaS para el tipo de trabajo de capital humano o puedo tener SaaS para la seguridad", anota Kunchala. "Si su proveedor no tiene los controles adecuados, toda su organización puede quedar expuesta"
3. Negociar protecciones adicionales
Negocie qué concesiones puede hacer mediante protecciones de seguridad adicionales. Tenga en cuenta que algunas cuestiones pueden no ser fácilmente negociables o no serlo en absoluto.
SaaS es un negocio a escala, basado en una oferta de productos estándar, señala Ellery. Así que algunos cambios, como la disponibilidad del sistema o la ubicación de almacenamiento de datos, podrían no ser negociables. "Cada vendedor es diferente y las concesiones significativas dependerán normalmente de la capacidad del vendedor de SaaS para hacer la concesión, así como su apalancamiento -o si las concesiones que quiere se relacionan con un requisito reglamentario", comenta. Las cláusulas de responsabilidad, que implican infracciones y compromisos de datos, pueden ser a menudo las cláusulas más difíciles de negociar. Por lo tanto, hay que considerar otras opciones, como las disposiciones de un seguro cibernético del proveedor.
Asegúrese de incluir un lenguaje que lo proteja en caso de que su proveedor de SaaS sea adquirido, aconseja Kunchala. Aborde cuestiones como lo que sucede con su contrato en curso, o cómo podría renovarlo, si otro proveedor de SaaS adquiere su proveedor. ¿El nuevo proveedor respetará su acuerdo de precios existente o tendrá precios completamente diferentes?
También debe analizar qué tipo de problemas puede haber enumerado el proveedor como circunstancias potencialmente imprevisibles que le impedirían ofrecer su producto o servicio. Asegúrese de que las circunstancias de fuerza mayor que el proveedor ha enumerado son razonables. Si se enumeran eventos de seguridad cibernética que usted cree que no pertenecen, retroceda en esos artículos, sostiene Kennedy.
4. Insistir en la notificación temprana de la violación
Reglamentos como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y las normas de la Industria de Tarjetas de Pago (PCI) exigen que las organizaciones se aseguren contractualmente de que los terceros dispongan de medidas razonables para proteger los datos sensibles. Los mandatos tienen requisitos y plazos específicos para la notificación de infracciones en caso de un incidente de seguridad en el proveedor de SaaS que afecte a los datos cubiertos.
Cuando negocie con un proveedor de SaaS, asegúrese de incluir disposiciones para la pronta notificación de la violación, señala Kennedy del Grupo 451. Estas cláusulas pueden ser polémicas de negociar porque los proveedores de SaaS no quieren que se les fije un plazo específico. A menudo, su mayor objeción tiene que ver con el hecho de que no se sabe con qué rapidez se podría descubrir inicialmente una violación.
"A pesar de ello, debe insistir en la notificación inmediata de cualquier violación de datos de seguridad en la que se vean afectados los datos de sus clientes", indica Kennedy. "El proveedor de SaaS no puede quedarse sentado decidiendo la mejor manera de darte la información, o trabajar de acuerdo a su propia línea de tiempo en ese escenario cuando es esencialmente su proveedor tercero".
5. Presta especial atención a las condiciones de terminación del contrato
Una de las cosas más importantes que debe considerar al entrar en un contrato SaaS es explicar exactamente lo que pasa al final del mismo. Mientras que los proveedores SaaS maduros probablemente tendrán un proceso formal para devolver y eliminar datos, es importante llegar a un acuerdo explícito sobre lo que implica exactamente ese proceso.
Las cuestiones que debe considerar incluyen la capacidad de su organización para recuperar sus datos cuando finalice el acuerdo, y cuáles son los procesos del proveedor para eliminar sus datos y garantizar que ningún tercero tenga acceso a ellos. "Lo primero que hay que hacer con los acuerdos SaaS es asegurarse de que tiene derecho a recuperar sus datos, independientemente de la terminación", indica Ellery. Muchos CISO prueban regularmente la recuperación de datos de sus proveedores de SaaS, o tienen un servicio para hacer copias de seguridad de datos críticos en un servicio de almacenamiento en la nube o en las instalaciones para asegurarse de que tienen esta capacidad, indica.
Considere la posibilidad de inscribirse para recibir asistencia en la transición si su organización utiliza el servicio SaaS para operaciones críticas. Una cláusula de asistencia para la transición amplía su acuerdo por un período específico después de que su contrato haya terminado, para que tenga tiempo de hacer la transición a otro proveedor de manera segura, anota Ellery. "Muchas organizaciones de servicios financieros buscan un mínimo de 18 meses de asistencia de transición para sus sistemas críticos", señala. Las cláusulas de terminación y transición suelen ser negociables, ya que el proveedor sigue recibiendo el pago por sus servicios.
Kunchala de Deloitte aconseja que las organizaciones obtengan cierto nivel de seguridad de su proveedor en lo que respecta a las reclamaciones sobre la eliminación y la transferencia de datos. Múltiples copias de los datos de su organización, o bits y porciones de los mismos, pueden existir en la infraestructura de un proveedor de SaaS y es su responsabilidad eliminarlos, anota.
"Necesitan proporcionar algún nivel de garantía porque entonces las cláusulas de responsabilidad que puedan tener entrarán en vigor", añade. En algún momento tiene que creer en la palabra de su proveedor y esperar que sus datos no salgan a la superficie en alguna infracción en el futuro, señala.
Basado en el artículo de Jaikumar Vijayan (CSO) y editado por CIO Perú