Búsqueda


21 de octubre de 2008

Subcontratando el riesgo

Tanto el blog de Joseba Enjuto como el de Javier Cao tienen un sitio preferente en mi lector de feeds, así que he podido leer en estos días un par de artículos muy interesantes: Caracterizar un Servicio, de Joseba y una reflexión generada por este primer artículo llamada La Subcontratación del Riesgo de Javier.

En ambos artículos se habla de la componente de riesgo que hay en la externalización y Javier acaba con una frase matadora:

Por que de lo contrario, cuando el Responsable de Seguridad vaya a comprobar qué ha pasado, podrá encontrarse al Steve Urkel de turno diciendo ¿he sido yo? y la cabeza a cortar será la que quien contrató un servicio inadecuado.

Es decir, que no se puede subcontratar o externalizar "a lo loco", sino que siempre debe quedar una capa de control y supervisión dentro de la propia organización para garantizar que se realice un seguimiento adecuado de lo que se ha contratado fuera.

Aquí (como en tantos otros sitios) COBIT nos puede ayudar. El Objetivo de control de alto nivel DS2 indica que se deben gestionar las relaciones con terceros. Fijémonos qué nos dice en la descripcion del OCAN

La necesidad de asegurarse de que los servicios proporcionados por terceros cumpla con los requerimientos del negocio requiere de un proceso de gestión apropiado. Este proceso se cumple mediante la correcta definición de roles, responsabilidades y expectativas al respecto de los acuerdos con terceros, así como revisando y monitorizando dichos acuerdos buscando su efectividad y cumplimiento. Una correcta gestión de estos servicios minimiza los riesgos asociados a proveedores poco efectivos o productivos.

Ajá! Una correcta gestión de los servicios minimiza los riesgos asociados a los proveedores... vamos bien. ¿Y los objetivos de control detallados?

DS2.1 Identificación de las relaciones con proveedores. Básicamente, mantener un catálogo de proveedores "homologados" con información al respecto del tipo de proveedor, solvencia, significatividad y criticidad.

DS2.2 Gestión de la Relación con proveedores. Asegurarse de que el proceso de gestión de relación con proveedores está en marcha para cada uno de los proveedores de nuestro catálogo.

DS2.3 Gestión del Riesgo de proveedores. Identificar y mitigar los riesgos relativos a la capacidad del proveedor para continuar prestando los servicios de una forma segura y eficiente.

DS2.4 Monitorización del rendimiento de proveedores. Establecer un proceso que monitorice la provisión del servicio para asegurar que el proveedor está cumpliendo con los requisitos de negocio actuales y continúa cumpliendo los acuerdos contratados y los SLAs establecidos, así como para asegurar que el proveedor sigue siendo competitivo en el mercado

Por último, el modelo de madurez va (como siempre en CobiT) desde el 0-Inexistente hasta el 5-Optimizado, donde y a modo de ejemplo vemos que el nivel 1-Inicial indica

La dirección es consciente de la necesidad de establecer políticas y procedimientos de contratación. La medición de los servicios es informal y reactiva. Las prácticas dependen de la experiencia de los individuos o del tercero

y el nivel 4-Gestionado indica

Existen criterios formales y estandarizados para la relación con terceros, incluyendo planificación, costes, facturación, responsabilidades. Las cualificaciones y riesgos de los proveedores se analizan periódicamente. Los requerimientos de servicio están alineados con los del negocio y existe un proceso que permite analizar el rendimiento del proveedor. Se tienen en cuenta los costes de transferencia y se han acordado KPIs y KGIs

Asi, vemos claramente que CobiT nos ayuda, no sólo a ser conscientes de que es importante mantener una capa de control que nos permita asegurar que cuando se cede un trozo de los servicios TIC a un tercero, éste se va a comportar como hemos acordado, sino que tambien nos ayuda a establecer estos controles.

Por último, recordar que CobiT es un marco de mínimos donde vemos los controles mínimos que debemos establecer.

2 comentarios:

Joseba Enjuto dijo...

Una simple puntualización: la frase que citas es de Javier Cao, no mío.
:-)

Antonio Valle dijo...

OOOPs!
Corregido!!