Como os CIOs podem limitar o risco de terceirização de TI

As empresas estão cada vez mais transferindo todas ou parte de suas funções de tecnologia da informação para prestadores de serviços externos. Embora isso possa criar certas eficiências, a organização ainda é, em última instância, responsável pelos riscos associados à disponibilidade e às funções do I.T. serviços, bem como o acesso e utilização adequados dos dados da empresa.

Isso significa o diretor de informações ou equivalente I.T. O líder deve garantir que os prestadores de serviços selecionados tenham a estrutura adequada, estabilidade financeira e planos de continuidade para entregar de forma consistente os serviços contratados.

Também significa I.T. os líderes devem avaliar a eficácia das políticas e procedimentos do provedor de serviços, para garantir a integridade e segurança dos dados confidenciais e informações proprietárias da empresa.

Estima-se que a indústria de US $ 1 trilhão por ano, I.T. a terceirização assume muitas formas. Uma organização pode entregar todo o seu I.T. departamento a um fornecedor, ou pode contratar um para executar operações de data center, gerenciamento de rede ou outras funções específicas.

Normalmente terceirizado I.T. as funções incluem:

• Desenvolvimento de aplicativos de software,
• Suporte de aplicativo de software,
• Operações de data center,
• Suporte de help desk,
• gerenciamento de rede,
• Cibersegurança,
• Plataforma ou infraestrutura como serviço e
• Software como serviço.

No passado, os CIOs focavam principalmente na cadeia de suprimentos física do produto. Hoje, no entanto, eles devem se preocupar com a cadeia de abastecimento de produtos e serviços.

Avaliar e gerenciar riscos em fornecedores de serviços de tecnologia terceirizados pode ser um desafio, uma vez que partes significativas dos ambientes de serviço estão sob o controle do fornecedor e provavelmente estão além do alcance da organização adquirente. A devida diligência deve ser realizada com antecedência para avaliar os riscos associados ao envolvimento de uma parte externa.

Antes de se envolver com um I.T. provedor de serviços, o CIO deve compreender:

• O que está sendo terceirizado,
• Quais processos de negócios serão suportados pelo serviço,
• Quais dados serão armazenados, processados ​​ou acessíveis por meio do serviço terceirizado e
• Quem terá acesso aos sistemas, aplicativos e dados relacionados ao serviço terceirizado.

O processo pode começar com um I.T. básico formulário de avaliação de risco de serviços, projetado para obter respostas a essas perguntas da equipe dentro da organização. Além disso, um formulário de pré-avaliação do fornecedor pode ser usado para coletar informações preliminares de um provedor de serviços em potencial. Perguntas comuns a serem feitas em um formulário de pré-avaliação do fornecedor incluem:

• A sua empresa alguma vez declarou falência?
• A apólice de seguro da sua empresa inclui reivindicações por erros e omissões (ou responsabilidade geral)? Se sim, quais são os limites da política?
• A sua empresa está envolvida em litígios pendentes?
• Sua empresa já participou de uma investigação regulatória?
• Sua empresa tem uma política de privacidade?
• Sua empresa possui um programa de segurança documentado em vigor?
• Sua empresa concordará em preencher um questionário sobre seus programas de segurança e privacidade da informação?
• Sua empresa tem um relatório de controles de organização de serviços (SOC)?
• Sua empresa possui um plano abrangente de continuidade de negócios para tratar da continuidade das operações em caso de incidentes que interrompam as operações normais?

Esses formulários de avaliação devem fornecer informações suficientes para determinar se diligência adicional é necessária. Com base no nível de risco potencial, essa diligência adicional pode incluir exigir que o provedor de serviços responda a um questionário mais detalhado; revisar o relatório SOC do provedor de serviços em detalhes ou envolver-se com a função de auditoria interna da organização ou uma empresa de auditoria externa qualificada para conduzir uma avaliação de fornecedor.

A realização dessas avaliações é crítica ao estabelecer um relacionamento com um novo provedor. Também é importante continuar a revisar cada fornecedor em uma base contínua. A frequência e a extensão dessas análises devem ser baseadas nos riscos associados aos serviços prestados.

Essas avaliações são feitas sob medida para provedores de serviços, mas os conceitos também podem ser adaptados para provedores de produtos de tecnologia importantes. O principal é que o CIO entenda os riscos potenciais de se envolver com um fornecedor e tenha uma compreensão de como cada fornecedor gerencia seus riscos de negócios. Dessa forma, o CIO poderá antecipar melhor o impacto dos riscos da terceirização na organização.

As avaliações do provedor de serviço podem ser atribuídas a várias funções dentro de uma organização, incluindo I.T., gerenciamento de risco ou auditoria interna. As avaliações também podem ser realizadas por terceiros qualificados.

No entanto, é responsabilidade do CIO ou equivalente I.T. líder para revisar as informações coletadas nas avaliações e determinar se o envolvimento com o provedor de serviços de tecnologia proposto está alinhado com os objetivos da organização e os níveis de tolerância ao risco. Uma avaliação completa hoje ajudará a evitar problemas maiores no futuro.

Robert Neill é diretor de Serviços de Consultoria de CIO da Weaver, uma CPA nacional e empresa de consultoria.