Los proveedores de servicios administrados y los proveedores de servicios en la nube que están tan bien versados en riesgos y responsabilidades como en tecnología estarán en una mejor posición para ganar más acuerdos y salvaguardar su negocio y sus clientes que aquellos que no lo están.
Ese fue uno de los mensajes clave que Robert J. Scott, socio gerente de Scott & Scott LLP, una firma de servicios legales y tecnológicos con sede en Southlake, Texas, que presta servicios a proveedores de servicios administrados (MSP), transmitió a los asistentes en una presentación sobre la ley de la nube. en el MSPWorld 2013 de la semana pasada en Orlando, Florida.
Si bien la tecnología, la alta disponibilidad y el servicio al cliente son vitales para administrar un negocio de servicios exitoso, no lo es todo. «Los servicios en la nube tienen que ver tanto con la responsabilidad como con la transferencia de riesgos [as they are about those other factors]», Dijo Scott.
A medida que más empresas adoptan los servicios en la nube, más empresas se preocupan por los riesgos de privacidad y seguridad, que desde la perspectiva del cliente, según Scott, es la principal preocupación.
«La capacidad de los proveedores de servicios para vender más servicios se basará en la capacidad del proveedor de servicios para abordar las preocupaciones de los clientes sobre el riesgo, ya sea real o percibido. También será un diferenciador clave para el negocio del proveedor de servicios», dijo Scott.
Hay cuatro estrategias esenciales de gestión de riesgos de TI que los proveedores de servicios deben implementar para proteger sus negocios y clientes, así como para fortalecer su posición en el mercado:
- Comprender los requisitos reglamentarios en la región donde hacen negocios, la industria en la que hacen negocios y las industrias de sus clientes.
- Utilice las disposiciones de indemnización en sus contratos para protegerse contra la responsabilidad legal.
- Obtén un seguro contra riesgos cibernéticos.
- Cifre los datos en movimiento y en reposo.
Si bien el riesgo de cumplimiento normativo puede no haber sido un gran problema en el pasado, es un problema muy importante para las empresas de hoy. Es por eso que más CIO y tecnólogos se están convirtiendo en expertos en la materia en asuntos como las diversas regulaciones estatales y federales que afectan a la TI. Los MSP expertos y los proveedores de servicios en la nube (CSP) deben hacer lo mismo para «hablar» con los clientes potenciales.
Scott advirtió a los MSP y CSP que deben conocer la privacidad, las garantías de seguridad y las reglas de notificación de infracciones en lo que respecta a su negocio, así como a los clientes con los que hacen negocios. Las regulaciones de cumplimiento regulatorio, dijo, no se basan en dónde reside el MSP o incluso en los datos, sino más bien en dónde reside el negocio de un cliente.
Hay muchas regulaciones federales específicas de la industria, así como regulaciones estatales que pueden variar de un estado a otro. Y existe un riesgo de cumplimiento normativo que acompaña a esas normas. Quién cubre esos riesgos y cómo se manejan son clave para una contratación exitosa, según Scott.
Cuando se trata de proveedores de soluciones y responsabilidad legal, el objetivo es estar en una posición de «riesgo cero». El experto en derecho tecnológico recomienda disposiciones sobre indemnización y límites de responsabilidad en los contratos, así como disposiciones sobre seguros, para lograr una posición de riesgo cero.
Los MSP y CSP que piensan que tener un seguro de responsabilidad civil general es toda la protección comercial que necesitan, deben pensarlo nuevamente, dijo Scott. El seguro de responsabilidad cibernética es imprescindible, dijo.
Cuando se trata de riesgos de privacidad y seguridad, particularmente en lo que se refiere al cumplimiento normativo y la regulación legal estatutaria, una forma en que los proveedores de soluciones pueden protegerse es mediante el uso de cifrado en vuelo y en reposo. Scott se refiere al cifrado como una «tarjeta para salir de la cárcel».
«Eso se debe a que las leyes estatales que definen la información del cliente eximirán específicamente la información que está encriptada o definirán la información que está regulada como datos no encriptados. Por lo tanto, la forma número uno en que un proveedor de servicios puede protegerse contra los riesgos de privacidad y seguridad es [to] asegurarse de que los datos de un cliente en movimiento y en reposo estén encriptados «, explicó.
Scott también abordó temas como la propiedad intelectual, la transferencia de riesgos, la subcontratación, la continuidad del negocio y la rescisión de contratos, todos ellos vitales para una buena estrategia de gestión de riesgos de TI.