Ante el nuevo escenario como consecuencia de la pandemia por coronavirus que está llevando a las empresas a apostar fuerte por el teletrabajo, la adopción del modelo SaaS, especialmente para temas de seguridad, está en auge. En este entorno, cómo negociar un contrato SaaS será fundamental.
Firmar un contrato SaaS está en pleno apogeo. Las previsiones de Gartner apuntan que el mercado SaaS conseguirá superar este 2020 los 104.600 millones de dólares, frente a los 102.000 millones de hace un año debido, principalmente, al fuerte incremento de nuevas herramientas de colaboración ante el nuevo escenario surgido en los entornos laborales como consecuencia de la pandemia por la COVID-19.
Si bien en los momentos iniciales de confinamiento más estricto, la apuesta por el trabajo en remoto fue clara para seguir operando en millones de empresas en todo el mundo, poco a poco se va viendo cómo se trata de un modelo que se establecerá a largo plazo.
Esto conlleva que muchas empresas estén apostando por la adopción de servicios SaaS, especialmente para evitar incidentes relacionados con la seguridad TI. Atendiendo a la gran cantidad de contratos SaaS que se están generando, desde 451 Group apuntan cinco claves a tener muy en cuenta a la hora de negociar un contrato SaaS, modelo “como servicio”, para garantizar que refleje los riesgos y factores de seguridad necesarios.
Cada empresa tiene sus propias características y necesidades por lo que no hay unas disposiciones de seguridad SaaS que funcione para todas. Por eso, antes de comenzar las negociaciones, es clave considerar el uso que se espera del sistema y elaborar una lista maestra de riesgos como seguridad TI, privacidad, regulación, continuidad del negocio y recuperación ante desastres. Esto permitirá abordar esta propuesta con todo lo necesario por el cliente y que el proveedor sepa realmente lo que tiene que incorporar y facturar.
Los CISO deben trabajar con los líderes de negocio y de TI para determinar los elementos del contrato SaaS
Es fundamental que los responsables de compras conozcan los problemas de seguridad básicos y abordarlos desde el principio de la negociación con el proveedor. Para ello, los CISO deben trabajar con los líderes empresariales y de TI y determinar los elementos no negociables del contrato SaaS, que se pueden utilizar como uno de los criterios a la hora de preseleccionar proveedores. En general, todo lo relacionado con la disponibilidad, resistencia y confidencialidad de los datos debería entrar en esta parte no negociable.
Otro aspecto clave a tener en cuenta en estas negociaciones es dónde puede haber concesiones mediante protección de seguridad adicional. A menudo, SaaS se ve como un negocio de escala basado en productos estándar, lo que dificulta la incorporación de cambios como la disponibilidad del sistema o la ubicación del almacenamiento de datos. En estos casos, es fundamental determinar todas las responsabilidades establecidas.
Regulaciones como RGPD requieren que las empresas verifiquen que los partners externos pueden proteger los datos confidenciales. Estas regulaciones contemplan una serie de requisitos específicos para la notificación de incumplimiento en caso de producirse un incidente de seguridad que afecte a los datos de los proveedores SaaS. Es fundamental que éstos notifiquen de inmediato cualquier infracción.
Tener en cuenta todo lo que se establece por contrato es clave, pero no lo es menos lo que sucede cuando finaliza dicho contrato SaaS. No obstante, las disposiciones sobre rescisión y transición del contrato suelen ser negociables y ahí los proveedores de servicios pueden incrementar sus oportunidades para elevar sus oportunidades de negocio.
Imagen inicial | Van Tay Media