Breaking

12/1/16

Los TOP Ten para un Outsourcing Seguro

A la hora de establecer un proceso de outsourcing es preciso contar con una estrategia efectiva que determine la política organizacional correspondiente, sin ello, todo intento será inválido e indefectiblemente lo conducirá a un fracaso asegurado.
A continuación les recomiendo los TOP Ten para un outsourcing seguro.

UNO

Conozca en profundidad el servicio que está depositando en manos de terceros, por ejemplo: el call center, la administración de la seguridad, el centro de cómputos pero ¿es sólo esto? No, debe ser mucho más profundo de manera de entender qué es lo que soporta la estructura de outsourcing desde la perspectiva de la administración del riesgo. Decida cuál es el nivel de gestión del riesgo que necesita ser extendido al proceso de contratación externa.

DOS

Comprenda los riesgos y sus dependencias. Analice las regulaciones locales, el cumplimiento de los controles del país, la estabilidad financiera, los riesgos geográficos (inundaciones, red de energía eléctrica estable, zona de tornados/huracanes, etc.), los riesgos sociales (manifestaciones populares, cercanía de entes gubernamentales, entre otros) y las opciones que usted posee desde el punto de vista del recurso legal.

TRES

Efectúe el análisis del nivel de gestión de riesgos de quien le provee el servicio. No olvide desarrollar: una revisión exhaustiva de las políticas, procedimientos, normas, y controles con los que cuenta el proveedor a ser contratado y un control de  informes claves de auditoria, tales como, SAS70 Tipo II, Certificación ISO/IEC 27001.

CUATRO

Solicite la evidencia del entrenamiento recibido (a mantener en forma continua mientras dure la prestación del servicio) por parte del personal de terceros, como también en relación al anterior, los chequeos preocupacionales específicamente los antecedentes profesionales, personales, económicos y criminales (dependiente de la legislación de cada país).

CINCO

Requiera ser informado ante los cambios del personal de terceros. De producirse licencias, vacaciones o reemplazo por cambio de función, estos deben ser anunciados de manera inmediata, por medio fehaciente, al contratante. De producirse el alta de nuevo personal asignado a prestar el servicio bajo contrato, pida estar presente en cada una de las entrevistas laborales.

SEIS

Compromiso de Confidencialidad. Puede existir uno único a ser conformado entre la empresa contratante y el proveedor de terceros, o uno a ser firmado por cada empleado del anterior, en mi opinión recomiendo esta última. Ambas formas deben ser efectuadas al momento del contrato, por cada cambio de personal y sucesivamente en base anual.

SIETE

Garantizar que los datos estén protegidos adecuadamente. Examine las políticas de control de acceso y las tecnologías correspondientes a fin de que sólo personal autorizado posea el acceso a los datos y sistemas. Chequee si los entornos de desarrollo, testeo y producción se encuentran separados lógica o físicamente y en ambos casos, los controles y permisos vigentes. Analice el proceso de control de cambios y específicamente el tratamiento del código fuente y testeo de la aplicación en cuestión, como también, el ciclo de vida de los datos y los procedimientos de copiado, cifrado, transmisión, almacenamiento y destrucción.

OCHO

Solicitud de transparencia para la vigilancia y el control de datos y servicios con sede en el proveedor. Algunos a considerar: reportes en base diaria y/o semanal como resultado de la revisión de los logs de auditoria de los componentes tecnológicos que correspondan, derechos de conexión remota a fin de monitorear los archivos de logs, reportes de accesos físicos a las áreas restringidas, tratamiento de personal externo, reporte de incidentes detectados, comunicados, resueltos y pendientes de resolución, etc.

NUEVE

Crear en forma clara y explícita acuerdos de nivel de servicio (SLA). Requiera la revisión por parte del área de Legales de la entidad. Resérvese el derecho de:
• Auditar (física y lógicamente) cada una las cláusulas.
• Cuantificar monetariamente los períodos en los cuales se registre la caída del servicio tercerizado y la pérdida de datos.
• Solicitar las medidas a ser adoptadas por el prestador del servicio en relación a la información confidencial.
• Exigir procesos de escalamiento de incidentes.
• Alterar los procesos que sean necesarios.
• Estar informado acerca del plan de continuidad del negocio y el plan de recuperación de desastres así como también, su mantenimiento, testeo y resultados del anterior.
• Requerir en forma mensual evidencias, tales como; Libros laborales a efectos de determinar si se encuentran rubricados y llevados de legal forma de acuerdo a prácticas habituales, Constancias de presentación y pago de declaraciones juradas acorde Régimen de Seguridad Social, ART y Obras Sociales, etc.

DIEZ

Lo esencial en la decisión de un proceso de outsourcing está en reconocer que:
• Es SU empresa, no la empresa de OTROS. Controle, investigue, usted es la cara visible ante su organización.
• El servicio a ser prestado por terceros debe estar alineado al negocio y responder como tal a las políticas corporativas.
• El RIESGO REPUTACIONAL no puede quedar en manos de TERCEROS. 
• La imagen y credibilidad de su empresa dependen de usted.
Finalmente, les transmito una frase de Michael Porter, la cual nos permite reflexionar ante lo expuesto.

“LA EMPRESA SIN ESTRATEGIA,


ESTA DISPUESTA A INTENTAR CUALQUIER COSA”

No hay comentarios.:

Publicar un comentario

Instagram @SchmitzOscar