Los contratos son uno de los activos más valiosos de una empresa. Cada vez están más digitalizados, sobre todo con la llegada de las soluciones digitales de gestión de contratos. Así que es lógico preguntarse hasta qué punto las diferentes herramientas son seguras.
En este artículo, enumeramos las 15 preguntas que debe hacer a sus proveedores de servicios para elegir la solución de gestión de contratos adecuada para su empresa y hacer una elección correcta.
15 preguntas que debe plantear a su solución de gestión de contratos para garantizar la seguridad de sus datos contractuales
1. ¿Por qué debería preocuparme por la seguridad de mis contratos?
Esta pregunta parece obvia, pero un buen proveedor de herramientas de Gestión de Contratos debería ser capaz de responderla.
Nombres de las partes, obligaciones, precios, plazos, penalizaciones… sus contratos contienen información sobre las obligaciones de su organización y las de sus empleados. Estos datos son esenciales para su empresa y debe protegerlos. Es aconsejable utilizar una caja fuerte digital.
2. ¿Cuáles son las principales amenazas actuales a la ciberseguridad?
Según el diario francés Les Echos, las autoridades esperan unos 400.000 ciberataques durante los Juegos Olímpicos de 2024 en París.
Hoy en día, las empresas son cada vez más vulnerables a los ciberataques. He aquí una lista de los tres más comunes:
- Ransomware
El ransomware se produce cuando los datos de una empresa son tomados como rehenes por un pirata informático y se pide un rescate. Para ello, se suele ocultar un programa malicioso en un archivo adjunto de correo electrónico. Una vez abierto, ataca el dispositivo.
Según el informe anual “El Estado del ransomware 2023” elaborado por Sophos:
- El 66% de las empresas encuestadas sufrieron un ataque de ransomware en 2022.
- El Coste que supone a las empresas la recuperación de datos, es el doble que aquellas empresas que dispongan de copias de seguridad.
- Spearphishing
Se trata de correos electrónicos que suplantan la identidad de una empresa privada o de un particular y van dirigidos a una persona u organización concreta.
He aquí algunos consejos para protegerse de estas amenazas:
- Desconfíe siempre de los archivos adjuntos que puedan estar infectados.
- Mueva el ratón sobre los enlaces para ver el destino antes de acceder y preste atención a la ortografía.
- Si tiene dudas sobre el remitente de un correo electrónico, póngase en contacto con él por otra vía (por ejemplo, por teléfono).
- Hackeo o fuga de datos
Puede ser interna o externa, intencionada o accidental. Una fuga de datos puede estar causada por un pirata informático que se infiltra en la red informática, pero también por un empleado.
3. ¿Su empresa está certificada? En caso afirmativo, ¿en qué medida?
La forma más fácil de saber si sus contratos están en un lugar seguro es elegir un proveedor de servicios certificado. Una de las normas de seguridad más completas es la ISO/IEC 27001:2013. Se trata de una certificación internacional en el ámbito de la seguridad informática, del mismo modo que la ISO 27701:2019, que se extiende a la protección de la privacidad. Para obtener esta certificación, una empresa debe, entre otras cosas, hacer un inventario claro y detallado de lo que se hace en la empresa en materia de seguridad y elaborar un plan en caso de ciberataque.
Une fois la certification obtenue, trois audits sont réalisés sur une période de trois ans. À l’issue de ces trois audits, la certification peut être renouvelée, ou non, si toutes les normes sont respectées.
✨ DiliTrust cuenta con las certificaciones ISO/IEC 27001:2013 e ISO 27701:2019. Lea este comunicado de prensa para obtener más información. :Privacidad y seguridad de los datos: DiliTrust certifica ISO 27001 y ISO 27701.
4. ¿Cuáles son sus normas de cumplimiento para los datos sensibles?
Si la seguridad es importante para usted, también debería serlo para el proveedor de servicios de gestión de contratos que utilice. Por ponerle un ejemplo, la mencionada certificación ISO obtenida por DiliTrust es la prueba de que nuestra empresa ha implantado los mejores métodos para proteger los datos de nuestros clientes y socios comerciales.
Dilitrust sigue un procedimiento estricto cuando trabaja con un nuevo subcontratista y se verifica cierta información, como:
- ¿Tienen la certificación ISO/IEC 27701:2019 o SOC 1-2-3 (Service Organization Control)?
- ¿Cumplen las directivas de protección de la privacidad? Almacenan sus datos dentro de la Unión Europea?
- ¿Cuáles son los procesos y métodos de la empresa para tratar los datos personales?
? Este tipo de procedimiento permite un control estricto de los datos personales.
5. ¿Dónde se alojarán los datos de mis contratos?
Siempre es preferible que los datos se alojen en la Unión Europea, ya que los Estados miembros de la UE están sujetos al GDPR, que regula el tratamiento de datos personales, y los ciudadanos tienen más control sobre cómo se utilizan sus datos.
DiliTrust también está presente en América, donde los datos se alojan en los servidores canadienses de alta seguridad que cumplen las normas ISO. En la región MEA, nuestros servidores también cumplen las normas de seguridad más estrictas y están ubicados en varios lugares de Oriente Medio y África, incluido Marruecos. Además, los datos no están sujetos a la US CLOUD Act.
6. ¿Cómo se protegen mis datos contractuales?
¿Su proveedor de herramientas de gestión de contratos cifra los datos de los clientes y, en caso afirmativo, cómo lo hace?
DiliTrust encripta todos los documentos con una clave de un solo uso para cada contrato en su biblioteca de contratos, un sistema KMS externalizado y desencriptación en las estaciones de trabajo de nuestros clientes para evitar transferencias descodificadas.
7. ¿Está certificada la infraestructura de su empresa?
Hablamos de su infraestructura, no de su organización, no es infrecuente que las legaltech cuenten con una o varias de las siguientes certificaciones: ISO/IEC 27001:2013, SSAE16 SOC1, SOC2, SOC3.
8. ¿Cumple el Reglamento General de Protección de Datos RGPD?
El RGPD es obligatorio y aplicable a todos los Estados miembros de la UE, o a todas las empresas que procesan o almacenan información personal de ciudadanos de la UE.
? Idea: no dude en pedir al proveedor de servicios que haya elegido que te envíe su política de confidencialidad y tratamiento de datos personales, así como la lista de proveedores de servicios autorizados con los que trabaja.
9. ¿Están sus empleados formados en seguridad de la información y gestión de riesgos?
Todos los empleados deben recibir formación sobre estos temas, porque la seguridad es una cuestión de equipo. La certificación ISO/IEC 27001:2013 significa que los miembros del equipo deben estar familiarizados con la política de seguridad de la información de la empresa, sus objetivos y las funciones y responsabilidades de cada uno.
10. ¿Se hace una copia de seguridad de mis datos?
Es esencial hacer copias de seguridad de tus datos con regularidad. Esto es importante porque necesitas poder recuperar tus datos al estado en que estaban antes de corromperse o perderse, y también es una capa extra de protección.
11. En caso de ciberataque, ¿qué medidas se aplican y a qué nivel?
La infraestructura es como el esqueleto de un sistema de información, compuesto por servidores, redes, software y datos. Es el punto de partida de la seguridad. Pregunta a tu proveedor de servicios qué medidas ha puesto en marcha para proteger la infraestructura.
Las tres preguntas siguientes son cuestiones específicas que puede plantearse sobre la seguridad de las infraestructuras.
12. ¿La arquitectura es multinivel?
Una aplicación se divide en varias secciones para que pueda modificarse más fácilmente en lugar de interrumpir toda la aplicación, ya que las secciones son independientes entre sí. Esto puede visualizarse como habitaciones separadas por puertas cortafuegos para evitar la propagación de un incendio en caso de ataque (el incendio representa un ciberataque en esta visualización).
13. ¿Dispone de medidas de protección contra las inundaciones?
Las inundaciones se producen cuando se envían grandes cantidades de datos obsoletos que inundan una red y la vuelven inestable. Tu proveedor de servicios debe tomar medidas para evitarlo.
14. ¿Existe un sistema de prevención de intrusiones?
Un sistema de prevención de intrusiones (IPS) es un sistema que analiza redes o sistemas, detecta posibles incidentes como ciberataques y ayuda a bloquearlos.
¿Qué subcontratistas utiliza su proveedor de herramientas de gestión de contratos?
La herramienta que haya elegido debe poder facilitarle una lista completa de todos los subcontratistas con los que trabaja.
✅ Es bueno saberlo: Para obtener la certificación ISO/IEC 27001:2013, también se audita la seguridad de los subcontratistas de una empresa.
Si desea más información sobre nuestro software de gestión de contratos, póngase en contacto con nosotros.
? También te puede interesar este contenido: