Cómo los CIO pueden limitar el riesgo de subcontratar TI

Las empresas ceden cada vez más la totalidad o parte de sus funciones de tecnología de la información a proveedores de servicios externos. Si bien esto puede generar ciertas eficiencias, la organización sigue siendo responsable en última instancia de los riesgos asociados con la disponibilidad y las funciones de I.T. servicios, así como el acceso y uso adecuados de los datos de la empresa.

Esto significa el director de información o equivalente de I.T. El líder debe asegurarse de que los proveedores de servicios seleccionados tengan la estructura adecuada, la estabilidad financiera y los planes de continuidad establecidos para brindar de manera consistente los servicios contratados.

También significa I.T. Los líderes deben evaluar la eficacia de las políticas y los procedimientos del proveedor de servicios para garantizar la integridad y seguridad de los datos confidenciales y la información patentada de la empresa.

Se estima que la industria de $ 1 billón por año, I.T. la subcontratación adopta muchas formas. Una organización puede entregar todo su I.T. departamento a un proveedor, o puede contratar uno para realizar operaciones del centro de datos, administración de red u otras funciones específicas.

I.T. las funciones incluyen:

• Desarrollo de aplicaciones de software,
• Soporte de aplicaciones de software,
• Operaciones del centro de datos,
• Soporte de mesa de ayuda,
• Gestión de la red,
• Ciberseguridad,
• Plataforma o infraestructura como servicio, y
• Software como servicio.

En el pasado, los CIO se centraban principalmente en la cadena de suministro de productos físicos. Hoy, sin embargo, deben preocuparse por la cadena de suministro tanto de productos como de servicios.

Evaluar y gestionar el riesgo en los proveedores de servicios de tecnología de terceros puede ser un desafío, ya que una parte significativa de los entornos de servicio están bajo el control del proveedor y probablemente estén fuera del alcance de la organización adquirente. Se debe realizar la debida diligencia desde el principio para evaluar los riesgos asociados con la participación de una parte externa.

Antes de comprometerse con un I.T. proveedor de servicios, el CIO debe comprender:

• Qué se subcontrata,
• Qué procesos comerciales serán compatibles con el servicio,
• Qué datos serán almacenados, procesados ​​o accesibles a través del servicio subcontratado, y
• Quién tendrá acceso a los sistemas, aplicaciones y datos relacionados con el servicio subcontratado.

El proceso puede comenzar con un I.T. formulario de evaluación de riesgos de servicios, diseñado para capturar las respuestas a estas preguntas del personal dentro de la organización. Además, se puede utilizar un formulario de evaluación previa del proveedor para recopilar información preliminar de un posible proveedor de servicios. Las preguntas comunes que se deben hacer en un formulario de evaluación previa de proveedores incluyen:

• ¿Su empresa alguna vez se declaró en quiebra?
• ¿La póliza de seguro de su empresa incluye reclamaciones por errores y omisiones (o responsabilidad general)? En caso afirmativo, ¿cuáles son los límites de la política?
• ¿Su empresa está involucrada en un litigio pendiente?
• ¿Alguna vez su empresa ha sido parte de una investigación regulatoria?
• ¿Su empresa tiene una política de privacidad?
• ¿Su empresa cuenta con un programa de seguridad documentado?
• ¿Aceptará su empresa completar un cuestionario sobre sus programas de seguridad y privacidad de la información?
• ¿Su empresa tiene un informe de Controles de organización de servicios (SOC)?
• ¿Tiene su empresa un plan integral de continuidad comercial para abordar la continuidad de las operaciones en caso de incidentes que interrumpan las operaciones normales?

Estos formularios de evaluación deben proporcionar información suficiente para determinar si se necesita diligencia adicional. Según el nivel de riesgo potencial, esta diligencia adicional podría incluir exigir al proveedor de servicios que responda a un cuestionario más detallado; revisar el informe de SOC del proveedor de servicios en detalle o colaborar con la función de auditoría interna de la organización o una firma de auditoría externa calificada para realizar una evaluación del proveedor.

Llevar a cabo estas evaluaciones es fundamental al establecer una relación con un nuevo proveedor. También es importante seguir revisando a cada proveedor de forma continua. La frecuencia y el alcance de esas revisiones deben basarse en los riesgos asociados con los servicios que se brindan.

Estas evaluaciones están diseñadas para proveedores de servicios, pero los conceptos también pueden adaptarse para proveedores de productos de tecnología clave. Lo principal es que el CIO comprenda los riesgos potenciales de relacionarse con un proveedor y comprenda cómo cada proveedor gestiona sus riesgos comerciales. De esta manera, el CIO podrá anticipar mejor el impacto de los riesgos de subcontratación en la organización.

Las evaluaciones del proveedor de servicios se pueden asignar a varias funciones dentro de una organización, incluida la TI, la gestión de riesgos o la auditoría interna. Las evaluaciones también pueden ser realizadas por un tercero calificado.

Sin embargo, es responsabilidad del CIO o equivalente de I.T. líder para revisar la información recopilada de las evaluaciones y determinar si la interacción con el proveedor de servicios de tecnología propuesto está alineado con los objetivos de la organización y los niveles de tolerancia al riesgo. Una evaluación exhaustiva hoy ayudará a evitar problemas mayores en el futuro.

Robert Neill es director de servicios de asesoría de CIO de Weaver, una firma nacional de asesoría y contadores públicos.