Hoe CIO's het risico van outsourcing van IT kunnen beperken

Bedrijven dragen in toenemende mate alle of een deel van hun informatietechnologiefuncties over aan externe dienstverleners. Hoewel dit bepaalde efficiëntiewinsten kan opleveren, blijft de organisatie uiteindelijk verantwoordelijk voor de risico's die samenhangen met de beschikbaarheid en functies van I.T. diensten, evenals correcte toegang tot en gebruik van bedrijfsgegevens.

Dit betekent dat de chief information officer of gelijkwaardige I.T. leider moet ervoor zorgen dat geselecteerde serviceproviders de juiste structuur, financiële stabiliteit en continuïteitsplannen hebben om de gecontracteerde services consistent te leveren.

Het betekent ook I.T. leiders moeten de effectiviteit van het beleid en de procedures van de dienstverlener beoordelen om de integriteit en veiligheid van de gevoelige gegevens en bedrijfseigen informatie van het bedrijf te waarborgen.

Naar schatting $ 1 biljoen per jaar industrie, I.T. outsourcing kent vele vormen. Een organisatie kan haar volledige I.T. afdeling aan een leverancier, of het kan er een inhuren om datacenteractiviteiten, netwerkbeheer of andere specifieke functies uit te voeren.

Vaak uitbestede IT functies omvatten:

• Ontwikkeling van softwareapplicaties,
• Ondersteuning voor softwaretoepassingen,
• Datacenterbewerkingen,
• Helpdesk-ondersteuning,
• Netwerkbeheer,
• Cyberbeveiliging,
• Platform of infrastructuur als een service, en
• Software als een service.

In het verleden richtten CIO's zich vooral op de fysieke toeleveringsketen van producten. Tegenwoordig moeten ze zich echter bezighouden met de toeleveringsketen voor zowel producten als diensten.

Het beoordelen en beheren van risico's bij externe leveranciers van technologiediensten kan een uitdaging zijn, aangezien aanzienlijke delen van de serviceomgevingen onder controle staan ​​van de provider en waarschijnlijk buiten het bereik van de overnemende organisatie vallen. Due diligence moet vooraf worden uitgevoerd om de risico's te beoordelen die gepaard gaan met het inschakelen van een externe partij.

Voordat je met een IT-medewerker in zee gaat serviceprovider, moet de CIO begrijpen:

• Wat wordt uitbesteed,
• Welke bedrijfsprocessen worden ondersteund door de service,
• Welke gegevens worden opgeslagen, verwerkt of toegankelijk via de uitbestede service, en
• Wie heeft toegang tot systemen, applicaties en gegevens met betrekking tot de uitbestede service.

Het proces kan beginnen met een basis I.T. risicobeoordelingsformulier voor services, ontworpen om antwoorden op deze vragen van medewerkers binnen de organisatie vast te leggen. Daarnaast kan een pre-beoordelingsformulier voor leveranciers worden gebruikt om voorlopige informatie te verzamelen van een potentiële dienstverlener. Veelvoorkomende vragen die u kunt stellen in een pre-assessmentformulier voor leveranciers zijn:

• Is uw bedrijf ooit failliet verklaard?
• Omvat de verzekeringspolis van uw bedrijf fouten en omissie (of algemene aansprakelijkheidsclaims)? Zo ja, wat zijn de grenzen van het beleid?
• Is uw bedrijf betrokken bij lopende rechtszaken?
• Is uw bedrijf ooit partij geweest bij een regelgevend onderzoek?
• Heeft uw bedrijf een privacybeleid?
• Heeft uw bedrijf een gedocumenteerd beveiligingsprogramma?
• Gaat uw bedrijf akkoord met het invullen van een vragenlijst over uw programma's voor informatiebeveiliging en privacy?
• Heeft uw bedrijf een Service Organization Controls (SOC)-rapport?
• Heeft uw bedrijf een uitgebreid plan voor bedrijfscontinuïteit om de continuïteit van de activiteiten te regelen in het geval van incidenten die de normale bedrijfsvoering verstoren?

Deze beoordelingsformulieren moeten voldoende informatie bevatten om te bepalen of aanvullende zorgvuldigheid nodig is. Op basis van het niveau van het potentiële risico kan deze aanvullende zorgvuldigheid inhouden dat de dienstverlener moet antwoorden op een meer gedetailleerde vragenlijst; het in detail doornemen van het SOC-rapport van de dienstverlener, of het in contact treden met de interne auditfunctie van de organisatie of een gekwalificeerd extern auditkantoor om een ​​leveranciersbeoordeling uit te voeren.

Het uitvoeren van deze beoordelingen is van cruciaal belang bij het aangaan van een relatie met een nieuwe provider. Het is ook belangrijk om elke leverancier voortdurend te blijven beoordelen. De frequentie en omvang van die beoordelingen moeten gebaseerd zijn op de risico's die verbonden zijn aan de geleverde diensten.

Deze beoordelingen zijn afgestemd op serviceproviders, maar de concepten kunnen ook worden aangepast voor leveranciers van belangrijke technologieproducten. Het belangrijkste is dat de CIO de potentiële risico's van een samenwerking met een leverancier begrijpt en begrijpt hoe elke leverancier zijn bedrijfsrisico's beheert. Op deze manier kan de CIO beter anticiperen op de impact van uitbestedingsrisico's op de organisatie.

Serviceproviderbeoordelingen kunnen worden toegewezen aan verschillende functies binnen een organisatie, waaronder IT, risicobeheer of interne audit. Beoordelingen kunnen ook worden uitgevoerd door een gekwalificeerde derde partij.

Het is echter de verantwoordelijkheid van de CIO of gelijkwaardige I.T. leider om de informatie die uit de beoordelingen is verzameld, te beoordelen en te bepalen of de samenwerking met de voorgestelde technologieserviceprovider in overeenstemming is met de doelen en risicotolerantieniveaus van de organisatie. Een grondige beoordeling van vandaag zal grotere problemen later helpen voorkomen.

Robert Neill is directeur van CIO Advisory Services voor Weaver, een nationaal CPA- en adviesbureau.