Ayer publicamos en el blog de INTECO una entrada titulada "Gestión de riesgos en la cadena de suministro TIC". En dicha entrada, comentábamos un informe de auditoría del GAO estadounidense sobre los riesgos existentes en la cadena de suministros TIC (tanto software como hardware, como servicios).
Dicho informe pone de relevancia que, si consideramos la provisión de servicios de cualquier organismo como una cadena de valor, existen eslabones que son provistos por empresas TIC externas (proveedores / suministradores) y que, evidentemente, un error o fallo o una actuación malintencionada de éstos puede acabar afectando al outcome del proceso. Es decir, que los riesgos de esos proveedores, pueden llegar a ser nuestros riesgos, si no prevemos esta situación y creamos los cortafuegos adecuados o, si esto no fuera posible, establecemos los mecanismos alternativos necesarios. Estos conceptos se manejan desde hace tiempo en una práctica conocida por sus siglas en inglés, SCM - Supply Chain Management.
Desde nuestro punto de vista, este enfoque de los servicios TIC nos hace pensar en ellos como engranajes de una maquinaria más compleja que deben ser gestionados de forma que evitemos fallos en su funcionamiento o estemos previstos para sustituirlos por otros en caso de fallo.
Quisiéramos resaltar la sección final de la entrada en la que enumeran las necesidades que surgen a la hora de realizar esta gestión de riesgos en los suministros TIC, puesto que pensamos que la calificación como mecanismo de confianza simplifica tremendamente dichas necesidades en el caso de subcontratación de servicios: