Enric Doménech
En el tejido empresarial actual, la subcontratación de servicios juega un papel esencial, permitiendo que las entidades tengan acceso a todo tipo de servicios, desde servicios sencillos de almacenamiento de información a complejos servicios de tratamientos de datos
No se duda que la subcontratación permite a las entidades centrar sus esfuerzos en su negocio Core obteniendo el conocimiento experto y la tecnología del proveedor sin tener que invertir en su desarrollo y mantenimiento.
No obstante, no son pocos los casos en los que una entidad se ve afectada por incidentes en sus proveedores ya sean de seguridad de la información, de privacidad o de continuidad. Por ello la subcontratación conlleva la responsabilidad de gestionar los riesgos asociados a la externalización de servicios, lo que resulta complejo al tener menor control directo sobre el riesgo, los activos y la operativa del proveedor (conectividad, plataformas, tecnología, datos accedidos, personal, ubicación, subcontrataciones, etc.).
Como solución para el control de estos riesgos, BDO propone un modelo de Vendor Risk Management for information security, privacy and business continuity (en adelante VRM) que identifique, categorice, valore, monitorice y gestione los riesgos de seguridad, de privacidad y de continuidad de la subcontratación a lo largo de todo el ciclo de vida del proveedor (evaluación del servicio a externalizar, valoración de riesgo de proveedores propuestos, establecimiento de la contratación, prestación del servicio y devolución del servicio).
Cada entidad tiene sus particularidades y tipología de proveedores por lo que el modelo de VRM debe ser adaptado a la casuística específica de la entidad. Para ello BDO proporciona soporte en todas las fases del modelo, desde su definición e implantación (metodología, modelo, análisis y valoración de servicios y proveedores), su mantenimiento (gestión de riesgo de proveedores existentes y nuevos proveedores) y su aplicación a herramientas VRM (selección y alimentación de la misma).
Desde BDO creemos que la subcontratación de servicios proporciona gran cantidad de ventajas a las entidades que pueden aprovecharse siempre que se controlen sus riesgos adecuadamente para proteger a la entidad y sus clientes.
Definición e implantación del modelo
Mantenimiento del modelo
Evaluación y análisis GAP de modelo VRM existente
Soporte del modelo en herramientas de VRM
Jornadas de Auditoría Interna
ISACA, ISMS FORUM, Instituto de Auditores Internos, ENISA
Enric Doménech