La propiedad de tus datos en juego: advertencias de privacidad en contratos de servicios SaaS

La mayoría de las entidades a nivel mundial, incluyendo dependencias y agencias de diferentes gobiernos, confían en el Software como Servicio (SaaS) para su operación. En el caso de empresas de tamaño mediano o grande, es común encontrar más de 200 aplicaciones SaaS en uso, y para aquellas con una plantilla de más de 15 mil empleados, este número puede incluso superar las 800, lo que nos lleva a reflexionar en que la dispersión de datos en múltiples ubicaciones y su gestión por diversas partes puede conllevar a graves desafíos de ciberseguridad, particularmente si los acuerdos con los proveedores no han sido acordados de manera adecuada.

Esto plantea desafíos en la gestión de datos, como el acceso a la información, y también puede generar problemas vinculados a la privacidad, el cumplimiento normativo y la soberanía de los datos. Por esta razón, tanto las empresas como los organismos gubernamentales que optan por soluciones SaaS deben implementar medidas de seguridad apropiadas. Es crucial que presten atención a los términos y condiciones del contrato, e idealmente, involucren a equipos de ciberseguridad en el proceso de contratación.

Desde el principio, es esencial considerar la disponibilidad de los datos y planificar la estrategia antes de adoptar una solución SaaS. Las organizaciones deben tener una comprensión clara de sus necesidades y deben evaluar minuciosamente los términos y servicios ofrecidos por el proveedor. Sin embargo, estos documentos pueden presentar desafíos significativos: son extensos y suelen utilizar un lenguaje complejo, lo que puede hacer que la lectura resulte desalentadora y poco práctica.

En la terminología legal utilizada en estos documentos, a menudo se encuentran detalles críticos que pueden tener un impacto significativo en cómo una organización utiliza el servicio. Aspectos importantes a tener en cuenta son si hay un período de gracia para la recuperación de datos y si se establece un procedimiento claro para eliminar los datos y evitar que permanezcan en los servidores del proveedor. Además, las cláusulas de terminación del contrato deben especificar el formato de exportación de datos, lo que puede facilitar una transición fluida hacia un servicio alternativo para la empresa.

Otro aspecto fundamental que las organizaciones deben considerar es si tienen pleno control sobre sus datos y cuál es su destino: ¿cómo se definen los datos en los términos de servicio?, ¿a quién pertenecen?, ¿quién los gestiona?, ¿quién tiene acceso a ellos?, ¿cómo se utilizan?, y ¿qué sucede en caso de pérdida, alteración o exposición debido a un incidente? Es esencial plantear este tipo de interrogantes mientras se sugiere que la misma organización configure sus propias copias de seguridad, de modo que no dependa exclusivamente del proveedor de SaaS.

Una recomendación adicional es que las organizaciones consideren soluciones que se implementen localmente y que brinden las mismas características que las ofrecidas por el software como servicio. Sería beneficioso que los equipos de ciberseguridad y sistemas colaboraran para identificar proveedores que ofrezcan una arquitectura en la que los datos sean propiedad exclusiva del cliente y que el código fuente esté bajo una licencia adecuada.

La transparencia es fundamental: en la mayoría de los casos, los contratos están elaborados para favorecer al proveedor, por lo que las empresas que piensen adoptar soluciones SaaS deben ser cautelosas y estar atentas a posibles advertencias que puedan estar camufladas en el lenguaje legal. Últimamente, algunos proveedores de SaaS han aprovechado la complejidad de los contratos para obtener ingresos adicionales de sus clientes, como por ejemplo, ofrecer una seguridad premium a cambio de tarifas extra, una práctica deshonesta y reciente.

Para prevenir estos inconvenientes, las compañías que emplean soluciones SaaS deben garantizar la claridad en los contratos. La presencia de términos ambiguos en esta área podría acarrear graves problemas en el futuro. Si no queda perfectamente establecido que la organización mantendrá la propiedad de sus datos, eso debería ser considerado como una señal de alarma importante que sugiere evitar esa negociación.

Si existen partes del contrato que necesitan ajustes, es crucial que las organizaciones se tomen el tiempo necesario para abordar estos puntos con el proveedor de SaaS. Durante las negociaciones contractuales, las organizaciones deberían buscar asesoramiento legal para salvaguardar sus intereses y reducir al mínimo los riesgos potenciales.

Un contrato va más allá de un trámite meramente formal: es fundamental. No se limita a ser una tarea administrativa sin importancia, ya que implica la seguridad de sus datos y, por ende, la seguridad de su organización. Además, asegura que el proveedor de SaaS asuma su parte de responsabilidad en lo que respecta a mantener la seguridad de sus datos.

Y otra consideración crucial: las empresas que tienen operaciones en el extranjero deben buscar orientación sobre cuestiones regulatorias internacionales para garantizar el cumplimiento de diferentes leyes y estándares en cada jurisdicción. Esto implica salvaguardar la información en situaciones en las que se almacena en naciones que autorizan el acceso gubernamental a los datos por razones de seguridad nacional.

Porque a pesar de que los principales proveedores de SaaS han iniciado la oferta de más opciones para el almacenamiento de datos a nivel local, todavía queda trabajo por hacer para resolver por completo este desafío. Aún hay un esfuerzo pendiente para desarrollar un conjunto de opciones SaaS que puedan rivalizar con las plataformas consolidadas en el extranjero y satisfacer los requisitos de soberanía.

Del mismo modo, los equipos de ciberseguridad deben desempeñar un papel fundamental en la adquisición de soluciones SaaS siempre que sea factible. Esto permitiría a las empresas asegurarse de que los proveedores cumplan con rigurosos estándares de seguridad, protección de datos y cumplimiento normativo.

Los equipos de ciberseguridad deben analizar las políticas de los proveedores relacionadas con la gestión de datos, la respuesta a incidentes, la regionalización de datos y la privacidad. Es necesario que evalúen los acuerdos de nivel de servicio para aspectos como la disponibilidad y las métricas de seguridad. Además, deben examinar la cultura y las prácticas de seguridad del proveedor, incluyendo las auditorías realizadas por terceros, y confirmar funciones como la autenticación multifactor y la recuperación de datos. En lo ideal, las empresas deberían llevar a cabo evaluaciones de seguridad de estos productos de manera continua y ser lo más exhaustivas posible.

————–

* Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Líder del Capítulo Querétaro de OWASP.

Twitter: https://twitter.com/silikn

Instagram: https://www.instagram.com/silikn

YouTube: https://www.youtube.com/@silikn7599