Beruflich Dokumente
Kultur Dokumente
Ingeniera Industrial
GESTION DE OUTSOURCING DE
TECNOLOGIAS DE INFORMACION
Claudio Moreno V.
Ingeniero en Informacin y Control de Gestin y Contador
Auditor, Universidad de Chile.
Magister en Ingeniera Industrial, Universidad Andrs
Bello, Santiago, Chile
1
Introduccin
2
Principales riesgos que se asumen con motivo de externalizacin de
servicios
3
Condiciones que deben cumplirse en el outsourcing
4
Poltica de contratacin y gestin de actividades relacionadas con el
outsourcing
5
Continuidad del negocio
6
Seguridad de la informacin
7
Factores a considerar al externalizar servicios
8
Factores a considerar al externalizar servicios de procesamiento de datos
2016
Apuntes Riesgos Tecnolgicos V 1.0
Claudio Moreno V.
-1-
Escuela de Industrias
Ingeniera Industrial
Introduccin
Todas las organizaciones enfrentan cambios para adaptarse a un medioambiente
cada da ms incierto. Toda industria desarrolla y aplica estrategias particulares,
dependiendo de distintas variables tanto internas como externas. Tambin las
empresas tienen determinadas estrategias dependiendo de su tamao, y otras
variables de mercado. As algunas son lderes en precios, otras en tecnologas, otras
por el cuidado del medioambiente, etc. Pero tambin aplican estrategias de carcter
interno, pueden contratar a ejecutivo reconocido, adquirir nueva maquinaria, etc. Una
estrategia habitual, sobre todo en reas operacionales es el outsourcing o
externalizacin de servicios. Podemos definir este concepto como la ejecucin por un
proveedor externo de servicios o actividades en forma continua u ocasional, las que
normalmente podran ser realizadas por la entidad contratante1. Muy relacionado con
este concepto tenemos las siguientes definiciones:
1. Proveedor de servicios: entidad relacionada o no a la institucin contratante,
que preste servicios o provea bienes e instalaciones a ste.
2. Entidad relacionada: aquella vinculada a la propiedad o gestin de la
contratante.
3. Riesgo operacional: es el riesgo de perdidas resultantes de un falta de
adecuacin o de una falla de procesos, del personal y de los sistemas internos
o bien por causa de acontecimientos externos.2
4. Riesgo reputacional: se refiere a la posibilidad de un opinin publica negativa
respecto practicas institucionales, sea cierta o falsa, que deriva en una
disminucin de la base de clientes3
2016
Apuntes Riesgos Tecnolgicos V 1.0
Claudio Moreno V.
-2-
Escuela de Industrias
Ingeniera Industrial
2016
Apuntes Riesgos Tecnolgicos V 1.0
Claudio Moreno V.
-3-
Escuela de Industrias
Ingeniera Industrial
2016
Apuntes Riesgos Tecnolgicos V 1.0
Claudio Moreno V.
-4-
Escuela de Industrias
Ingeniera Industrial
Seguridad de la informacin
La empresa debe tener la seguridad que el proveedor de los servicios mantiene un
programa de seguridad de la informacin que permita asegurar la:
1.
2.
3.
4.
Confidencialidad.
Integridad.
Trazabilidad.
Disponibilidad de sus activos de informacin y de sus clientes.
Estas condiciones deben ser consistentes con las polticas y estndares adoptados
por la entidad y quedar escritos en el contrato respectivo.
La informacin una vez procesada debe ser almacenada y transportada de manera
encriptada, manteniendo las llaves de desemcriptacion en poder del personal
correspondiente de la entidad. Piense en la informacin de una institucin financiera, y
lo relevante de mantener segura su informacin.
De igual modo deben definirse los procedimientos de intercambio de claves entre el
proveedor de servicios y la empresa cliente, tambin hay que establecer los roles y
responsabilidades de las personas vinculadas a la administracin de seguridad.
Si hay procesamiento de documentacin fsica, la empresa debe contar con
procedimientos de control que cumplan con los requerimientos establecidos en las
polticas respectivas. De igual manera hay que establecer procedimientos que
aseguren el traspaso de informacin a la empresa por parte del proveedor, y
asegurarse que en ninguna caso mantenga informacin en su poder despus de
terminada la relacin contractual.
2016
Apuntes Riesgos Tecnolgicos V 1.0
Claudio Moreno V.
-5-
Escuela de Industrias
Ingeniera Industrial
-6-
Escuela de Industrias
Ingeniera Industrial
Bibliografa:
Recopilacin
actualizada
de
normas
de
la
SBIF,
http://www.sbif.cl/sbifweb/servlet/LeyNorma?indice=3.1.2&LNAN=1
Auditora en Sistemas Computacionales. Carlos Muoz Razo, Captulo 6 Metodologa para realizar
auditoras computacionales.
Auditora Informtica un enfoque prctico. Mario Piattini V. 2 edicin, Captulo I La informtica como
herramienta del auditor financiero.
2016
Apuntes Riesgos Tecnolgicos V 1.0
Claudio Moreno V.
-7-