Los TOP Ten para un Outsourcing Seguro
A la hora de establecer un proceso de outsourcing es preciso contar con
una estrategia efectiva que determine la política organizacional
correspondiente, sin ello, todo intento será inválido e indefectiblemente lo
conducirá a un fracaso asegurado.
A continuación les recomiendo los TOP Ten para un outsourcing seguro.
UNO
Conozca en profundidad el servicio que está depositando en manos de terceros,
por ejemplo: el call center, la administración de la seguridad, el centro de
cómputos pero ¿es sólo esto? No, debe ser mucho más profundo de manera de
entender qué es lo que soporta la estructura de outsourcing desde la
perspectiva de la administración del riesgo. Decida cuál es el nivel de gestión
del riesgo que necesita ser extendido al proceso de contratación externa.
DOS
Comprenda los riesgos y sus dependencias. Analice las regulaciones locales,
el cumplimiento de los controles del país, la estabilidad financiera, los
riesgos geográficos (inundaciones, red de energía eléctrica estable, zona de
tornados/huracanes, etc.), los riesgos sociales (manifestaciones populares,
cercanía de entes gubernamentales, entre otros) y las opciones que usted posee
desde el punto de vista del recurso legal.
TRES
Efectúe el análisis del nivel de gestión de riesgos de quien le provee el
servicio. No olvide desarrollar: una revisión exhaustiva de las políticas,
procedimientos, normas, y controles con los que cuenta el proveedor a ser
contratado y un control de informes claves de auditoria, tales como,
SAS70 Tipo II, Certificación ISO/IEC 27001.
CUATRO
Solicite la evidencia del entrenamiento recibido (a mantener en forma
continua mientras dure la prestación del servicio) por parte del personal de
terceros, como también en relación al anterior, los chequeos preocupacionales
específicamente los antecedentes profesionales, personales, económicos y
criminales (dependiente de la legislación de cada país).
CINCO
Requiera ser informado ante los cambios del personal de terceros. De
producirse licencias, vacaciones o reemplazo por cambio de función, estos deben
ser anunciados de manera inmediata, por medio fehaciente, al contratante. De
producirse el alta de nuevo personal asignado a prestar el servicio bajo
contrato, pida estar presente en cada una de las entrevistas laborales.
SEIS
Compromiso de Confidencialidad. Puede existir uno único a ser conformado
entre la empresa contratante y el proveedor de terceros, o uno a ser firmado
por cada empleado del anterior, en mi opinión recomiendo esta última. Ambas
formas deben ser efectuadas al momento del contrato, por cada cambio de
personal y sucesivamente en base anual.
SIETE
Garantizar que los datos estén protegidos adecuadamente. Examine las
políticas de control de acceso y las tecnologías correspondientes a fin de que
sólo personal autorizado posea el acceso a los datos y sistemas. Chequee si los
entornos de desarrollo, testeo y producción se encuentran separados lógica o
físicamente y en ambos casos, los controles y permisos vigentes. Analice el
proceso de control de cambios y específicamente el tratamiento del código
fuente y testeo de la aplicación en cuestión, como también, el ciclo de vida de
los datos y los procedimientos de copiado, cifrado, transmisión, almacenamiento
y destrucción.
OCHO
Solicitud de transparencia para la vigilancia y el control de datos y
servicios con sede en el proveedor. Algunos a considerar: reportes en base
diaria y/o semanal como resultado de la revisión de los logs de auditoria de
los componentes tecnológicos que correspondan, derechos de conexión remota a
fin de monitorear los archivos de logs, reportes de accesos físicos a las áreas
restringidas, tratamiento de personal externo, reporte de incidentes
detectados, comunicados, resueltos y pendientes de resolución, etc.
NUEVE
Crear en forma clara y explícita acuerdos de nivel de servicio (SLA).
Requiera la revisión por parte del área de Legales de la entidad. Resérvese el
derecho de:
• Auditar (física y lógicamente) cada una las cláusulas.
• Cuantificar monetariamente los períodos en los cuales se registre la caída del servicio tercerizado y la pérdida de datos.
• Solicitar las medidas a ser adoptadas por el prestador del servicio en relación a la información confidencial.
• Exigir procesos de escalamiento de incidentes.
• Alterar los procesos que sean necesarios.
• Estar informado acerca del plan de continuidad del negocio y el plan de recuperación de desastres así como también, su mantenimiento, testeo y resultados del anterior.
• Requerir en forma mensual evidencias, tales como; Libros laborales a efectos de determinar si se encuentran rubricados y llevados de legal forma de acuerdo a prácticas habituales, Constancias de presentación y pago de declaraciones juradas acorde Régimen de Seguridad Social, ART y Obras Sociales, etc.
DIEZ
Lo esencial en la decisión de un proceso de outsourcing está en reconocer
que:
• Es SU empresa, no la empresa de OTROS. Controle, investigue, usted es la cara visible ante su organización.
• El servicio a ser prestado por terceros debe estar alineado al negocio y responder como tal a las políticas corporativas.
• El RIESGO REPUTACIONAL no puede quedar en manos de TERCEROS.
• La imagen y credibilidad de su empresa dependen de usted.
Finalmente, les transmito una frase de Michael Porter, la cual nos permite reflexionar ante lo expuesto.
“LA EMPRESA SIN ESTRATEGIA,
ESTA DISPUESTA A INTENTAR CUALQUIER
COSA”
A continuación les recomiendo los TOP Ten para un outsourcing seguro.
UNO
Conozca en profundidad el servicio que está depositando en manos de terceros,
por ejemplo: el call center, la administración de la seguridad, el centro de
cómputos pero ¿es sólo esto? No, debe ser mucho más profundo de manera de
entender qué es lo que soporta la estructura de outsourcing desde la
perspectiva de la administración del riesgo. Decida cuál es el nivel de gestión
del riesgo que necesita ser extendido al proceso de contratación externa.
DOS
Comprenda los riesgos y sus dependencias. Analice las regulaciones locales,
el cumplimiento de los controles del país, la estabilidad financiera, los
riesgos geográficos (inundaciones, red de energía eléctrica estable, zona de
tornados/huracanes, etc.), los riesgos sociales (manifestaciones populares,
cercanía de entes gubernamentales, entre otros) y las opciones que usted posee
desde el punto de vista del recurso legal.
TRES
Efectúe el análisis del nivel de gestión de riesgos de quien le provee el
servicio. No olvide desarrollar: una revisión exhaustiva de las políticas,
procedimientos, normas, y controles con los que cuenta el proveedor a ser
contratado y un control de informes claves de auditoria, tales como,
SAS70 Tipo II, Certificación ISO/IEC 27001.
CUATRO
Solicite la evidencia del entrenamiento recibido (a mantener en forma
continua mientras dure la prestación del servicio) por parte del personal de
terceros, como también en relación al anterior, los chequeos preocupacionales
específicamente los antecedentes profesionales, personales, económicos y
criminales (dependiente de la legislación de cada país).
CINCO
Requiera ser informado ante los cambios del personal de terceros. De
producirse licencias, vacaciones o reemplazo por cambio de función, estos deben
ser anunciados de manera inmediata, por medio fehaciente, al contratante. De
producirse el alta de nuevo personal asignado a prestar el servicio bajo
contrato, pida estar presente en cada una de las entrevistas laborales.
SEIS
Compromiso de Confidencialidad. Puede existir uno único a ser conformado
entre la empresa contratante y el proveedor de terceros, o uno a ser firmado
por cada empleado del anterior, en mi opinión recomiendo esta última. Ambas
formas deben ser efectuadas al momento del contrato, por cada cambio de
personal y sucesivamente en base anual.
SIETE
Garantizar que los datos estén protegidos adecuadamente. Examine las
políticas de control de acceso y las tecnologías correspondientes a fin de que
sólo personal autorizado posea el acceso a los datos y sistemas. Chequee si los
entornos de desarrollo, testeo y producción se encuentran separados lógica o
físicamente y en ambos casos, los controles y permisos vigentes. Analice el
proceso de control de cambios y específicamente el tratamiento del código
fuente y testeo de la aplicación en cuestión, como también, el ciclo de vida de
los datos y los procedimientos de copiado, cifrado, transmisión, almacenamiento
y destrucción.
OCHO
Solicitud de transparencia para la vigilancia y el control de datos y
servicios con sede en el proveedor. Algunos a considerar: reportes en base
diaria y/o semanal como resultado de la revisión de los logs de auditoria de
los componentes tecnológicos que correspondan, derechos de conexión remota a
fin de monitorear los archivos de logs, reportes de accesos físicos a las áreas
restringidas, tratamiento de personal externo, reporte de incidentes
detectados, comunicados, resueltos y pendientes de resolución, etc.
NUEVE
Crear en forma clara y explícita acuerdos de nivel de servicio (SLA).
Requiera la revisión por parte del área de Legales de la entidad. Resérvese el
derecho de:• Auditar (física y lógicamente) cada una las cláusulas.
• Cuantificar monetariamente los períodos en los cuales se registre la caída del servicio tercerizado y la pérdida de datos.
• Solicitar las medidas a ser adoptadas por el prestador del servicio en relación a la información confidencial.
• Exigir procesos de escalamiento de incidentes.
• Alterar los procesos que sean necesarios.
• Estar informado acerca del plan de continuidad del negocio y el plan de recuperación de desastres así como también, su mantenimiento, testeo y resultados del anterior.
• Requerir en forma mensual evidencias, tales como; Libros laborales a efectos de determinar si se encuentran rubricados y llevados de legal forma de acuerdo a prácticas habituales, Constancias de presentación y pago de declaraciones juradas acorde Régimen de Seguridad Social, ART y Obras Sociales, etc.
DIEZ
Lo esencial en la decisión de un proceso de outsourcing está en reconocer
que:• Es SU empresa, no la empresa de OTROS. Controle, investigue, usted es la cara visible ante su organización.
• El servicio a ser prestado por terceros debe estar alineado al negocio y responder como tal a las políticas corporativas.
• El RIESGO REPUTACIONAL no puede quedar en manos de TERCEROS.
• La imagen y credibilidad de su empresa dependen de usted.
Finalmente, les transmito una frase de Michael Porter, la cual nos permite reflexionar ante lo expuesto.
No hay comentarios.