Как ИТ-директора могут ограничить риск аутсорсинга ИТ

Компании все чаще передают все или часть своих функций в области информационных технологий сторонним поставщикам услуг. Хотя это может обеспечить определенную эффективность, организация по-прежнему несет полную ответственность за риски, связанные с доступностью и функциями I.T. услуги, а также надлежащий доступ и использование данных компании.

Это означает, что директор по информационным технологиям или аналогичный ИТ-специалист. Руководитель должен гарантировать, что выбранные поставщики услуг имеют надлежащую структуру, планы финансовой стабильности и непрерывности для последовательного предоставления услуг по контракту.

Это также означает I.T. Руководители должны оценить эффективность политик и процедур поставщика услуг, чтобы гарантировать целостность и безопасность конфиденциальных данных и конфиденциальной информации компании.

Промышленность, оцениваемая в 1 триллион долларов в год, I.T. аутсорсинг принимает разные формы. Организация может передать весь свой ИТ. отдел поставщику, или он может нанять его для выполнения операций центра обработки данных, управления сетью или других конкретных функций.

Обычно ИТ-услуги передаются на аутсорсинг. функции включают:

• Разработка программного обеспечения,
• Поддержка программных приложений,
• Операции центра обработки данных,
• Служба поддержки,
• Управление сетью,
• Кибербезопасность,
• Платформа или инфраструктура как услуга и
• Программное обеспечение как услуга.

В прошлом ИТ-директора уделяли основное внимание цепочке поставок физических продуктов. Однако сегодня они должны заботиться о цепочке поставок как продуктов, так и услуг.

Оценка и управление рисками у сторонних поставщиков технологических услуг может быть сложной задачей, поскольку значительная часть среды обслуживания находится под контролем поставщика и, вероятно, выходит за рамки компетенции приобретающей организации. Должная осмотрительность должна быть проведена заранее, чтобы оценить риски, связанные с привлечением внешней стороны.

Прежде чем вступить в контакт с I.T. поставщик услуг, ИТ-директор должен понимать:

• Что передается на аутсорсинг,
• Какие бизнес-процессы будет поддерживать сервис,
• Какие данные будут храниться, обрабатываться или доступны через стороннюю службу, и
• Кто будет иметь доступ к системам, приложениям и данным, связанным с услугами, переданными на аутсорсинг.

Процесс может начаться с базового I.T. форма оценки риска услуг, предназначенная для сбора ответов на эти вопросы сотрудников организации. Кроме того, форма предварительной оценки поставщика может использоваться для сбора предварительной информации от потенциального поставщика услуг. Часто задаваемые вопросы в форме предварительной оценки поставщика включают:

• Ваша компания когда-либо объявляла о банкротстве?
• Включает ли страховой полис вашей компании претензии в отношении ошибок и упущений (или общей ответственности)? Если да, каковы ограничения политики?
• Участвует ли ваша компания в рассматриваемом судебном процессе?
• Принимала ли ваша компания когда-либо участие в расследовании регулирующих органов?
• Есть ли у вашей компании политика конфиденциальности?
• Имеется ли в вашей компании задокументированная программа безопасности?
• Согласится ли ваша компания заполнить анкету, касающуюся ваших программ информационной безопасности и конфиденциальности?
• Есть ли в вашей компании отчет по контролю обслуживающей организации (SOC)?
• Имеется ли у вашей компании комплексный план обеспечения непрерывности бизнеса для обеспечения непрерывности операций в случае инцидентов, нарушающих нормальную работу?

Эти оценочные формы должны содержать достаточно информации, чтобы определить, нужна ли дополнительная проверка. Исходя из уровня потенциального риска, эта дополнительная проверка может включать требование к поставщику услуг ответить на более подробный вопросник; подробный анализ отчета SOC поставщика услуг или взаимодействие с отделом внутреннего аудита организации или квалифицированной внешней аудиторской фирмой для проведения оценки поставщика.

Проведение этих оценок имеет решающее значение при установлении отношений с новым поставщиком. Также важно продолжать проверять каждого поставщика на постоянной основе. Частота и объем этих проверок должны основываться на рисках, связанных с предоставляемыми услугами.

Эти оценки предназначены для поставщиков услуг, но концепции также могут быть адаптированы для поставщиков ключевых технологических продуктов. Главное, чтобы ИТ-директор понимал потенциальные риски взаимодействия с поставщиком и понимал, как каждый поставщик управляет своими бизнес-рисками. Таким образом, ИТ-директор сможет лучше предвидеть влияние рисков, связанных с аутсорсингом, на организацию.

Оценка поставщиков услуг может быть назначена различным функциям внутри организации, включая ИТ, управление рисками или внутренний аудит. Оценки также могут быть выполнены квалифицированной третьей стороной.

Однако ответственность за это несет ИТ-директор или аналогичный ИТ-отдел. руководитель, чтобы проанализировать информацию, собранную в результате оценок, и определить, согласуется ли взаимодействие с предлагаемым поставщиком технологических услуг с целями организации и уровнями устойчивости к риску. Тщательная оценка сегодня поможет предотвратить более серьезные проблемы в будущем.

Роберт Нил - директор консультационных услуг по информационным технологиям в Weaver, национальной аудиторской и консультационной фирме.