Ayer publicamos en el blog de INTECO una entrada titulada "Gestión de riesgos en la cadena de suministro TIC". En dicha entrada, comentábamos un informe de auditoría del GAO estadounidense sobre los riesgos existentes en la cadena de suministros TIC (tanto software como hardware, como servicios).

Dicho informe pone de relevancia que, si consideramos la provisión de servicios de cualquier organismo como una cadena de valor, existen eslabones que son provistos por empresas TIC externas (proveedores / suministradores) y que, evidentemente, un error o fallo o una actuación malintencionada de éstos puede acabar afectando al outcome del proceso. Es decir, que los riesgos de esos proveedores, pueden llegar a ser nuestros riesgos, si no prevemos esta situación y creamos los cortafuegos adecuados o, si esto no fuera posible, establecemos los mecanismos alternativos necesarios. Estos conceptos se manejan desde hace tiempo en una práctica conocida por sus siglas en inglés, SCM - Supply Chain Management.

Desde nuestro punto de vista, este enfoque de los servicios TIC nos hace pensar en ellos como engranajes de una maquinaria más compleja que deben ser gestionados de forma que evitemos fallos en su funcionamiento o estemos previstos para sustituirlos por otros en caso de fallo.

Quisiéramos resaltar la sección final de la entrada en la que enumeran las necesidades que surgen a la hora de realizar esta gestión de riesgos en los suministros TIC, puesto que pensamos que la calificación como mecanismo de confianza simplifica tremendamente  dichas necesidades en el caso de subcontratación de servicios:

  1. La revisión de la calificación de un servicio es sencilla, una vez que se comprende el esquema de funcionamiento. Además, al proporcionarse la información en un formato fácilmente comprensible, es fácil, establecer diálogos con los órganos de gobierno de la empresa para que puedan tomar mejores decisiones.
  2. La calificación es básicamente un mecanismo que introduce transparencia en la relación y que ayuda a adecuar la asunción de riesgo en la contratación de un servicio con el perfil de riesgo de nuestra empresa.
  3. La vigilancia que realiza la agencia de calificación y el acuerdo contractual con el proveedor de servicios ayuda a no asumir riesgos innecesarios, máxime cuando el proveedor debe actualizar su calificación si empeora su perfil de riesgo.
  4. Finalmente, dada la asimilación que se produce entre perfil de riesgo del servicio subcontratado y el riesgo que desea asumir la organización, las modificaciones en las políticas se ven reducidas al mínimo.

Puedes seguirnos en twitter.com/leet_security

24 de mayo de 2012