Comment les DSI peuvent limiter le risque d'externalisation informatique

Les entreprises confient de plus en plus tout ou partie de leurs fonctions informatiques à des prestataires extérieurs. Bien que cela puisse créer certaines efficacités, l'organisation est toujours responsable en dernier ressort des risques associés à la disponibilité et aux fonctions de l'informatique. services, ainsi que l'accès et l'utilisation appropriés des données de l'entreprise.

Cela signifie que le directeur de l'information ou l'équivalent informatique. le leader doit s'assurer que les prestataires de services sélectionnés ont la structure appropriée, la stabilité financière et les plans de continuité en place pour fournir systématiquement les services contractuels.

Cela signifie aussi I.T. les dirigeants doivent évaluer l'efficacité des politiques et procédures du fournisseur de services, afin de garantir l'intégrité et la sécurité des données sensibles et des informations exclusives de l'entreprise.

Une industrie estimée à 1 000 milliards de dollars par an, I.T. l'externalisation prend plusieurs formes. Une organisation peut remettre l'intégralité de son informatique. département à un fournisseur, ou il peut en embaucher un pour effectuer les opérations du centre de données, la gestion du réseau ou d'autres fonctions spécifiques.

Informatique couramment externalisée les fonctions incluent :

• Développement d'applications logicielles,
• Prise en charge des applications logicielles,
• Opérations du centre de données
• Assistance du service d'assistance,
• Gestion du réseau,
• Cybersécurité,
• Plateforme ou infrastructure en tant que service, et
• Logiciel en tant que service.

Dans le passé, les DSI se concentraient principalement sur la chaîne d'approvisionnement des produits physiques. Aujourd'hui, cependant, ils doivent se préoccuper de la chaîne d'approvisionnement des produits et des services.

L'évaluation et la gestion des risques chez les fournisseurs de services technologiques tiers peuvent être un défi, car des parties importantes des environnements de service sont sous le contrôle du fournisseur et échappent probablement à la compétence de l'organisation acquéreur. Une diligence raisonnable doit être effectuée dès le départ pour évaluer les risques associés à l'engagement d'une partie externe.

Avant de s'engager avec un I.T. fournisseur de services, le DSI doit comprendre :

• Qu'est-ce qui est sous-traité,
• Quels processus métier seront pris en charge par le service,
• Quelles données seront stockées, traitées ou accessibles via le service externalisé, et
• Qui aura accès aux systèmes, applications et données liés au service externalisé.

Le processus peut commencer par une base informatique. formulaire d'évaluation des risques des services, conçu pour recueillir les réponses à ces questions du personnel au sein de l'organisation. En outre, un formulaire de pré-évaluation du fournisseur peut être utilisé pour recueillir des informations préliminaires auprès d'un fournisseur de services potentiel. Les questions courantes à poser dans un formulaire de pré-évaluation d'un fournisseur incluent :

• Votre entreprise a-t-elle déjà déclaré faillite ?
• La police d'assurance de votre entreprise comprend-elle des réclamations pour erreurs et omissions (ou responsabilité civile générale) ? Si oui, quelles sont les limites de la politique ?
• Votre entreprise est-elle impliquée dans un litige en cours ?
• Votre entreprise a-t-elle déjà été partie à une enquête réglementaire ?
• Votre entreprise a-t-elle une politique de confidentialité ?
• Votre entreprise a-t-elle mis en place un programme de sécurité documenté ?
• Votre entreprise acceptera-t-elle de remplir un questionnaire concernant vos programmes de sécurité et de confidentialité des informations ?
• Votre entreprise dispose-t-elle d'un rapport sur les contrôles de l'organisation des services (SOC) ?
• Votre entreprise dispose-t-elle d'un plan de continuité des activités complet pour assurer la continuité des opérations en cas d'incidents perturbant les opérations normales ?

Ces formulaires d'évaluation doivent fournir suffisamment d'informations pour déterminer si une diligence supplémentaire est nécessaire. En fonction du niveau de risque potentiel, cette diligence supplémentaire pourrait inclure l'obligation pour le prestataire de services de répondre à un questionnaire plus détaillé ; examiner en détail le rapport SOC du fournisseur de services ou s'engager avec la fonction d'audit interne de l'organisation ou un cabinet d'audit externe qualifié pour procéder à une évaluation du fournisseur.

La réalisation de ces évaluations est essentielle lors de l'établissement d'une relation avec un nouveau fournisseur. Il est également important de continuer à examiner chaque fournisseur de façon continue. La fréquence et l'étendue de ces examens doivent être basées sur les risques associés aux services fournis.

Ces évaluations sont adaptées aux fournisseurs de services, mais les concepts peuvent également être adaptés aux principaux fournisseurs de produits technologiques. L'essentiel est que le DSI comprenne les risques potentiels de s'engager avec un fournisseur et comprenne comment chaque fournisseur gère ses risques commerciaux. De cette façon, le DSI sera mieux en mesure d'anticiper l'impact des risques d'externalisation sur l'organisation.

Les évaluations des fournisseurs de services peuvent être attribuées à diverses fonctions au sein d'une organisation, notamment l'informatique, la gestion des risques ou l'audit interne. Les évaluations peuvent également être effectuées par un tiers qualifié.

Cependant, il est de la responsabilité du CIO ou d'un I.T. équivalent. responsable d'examiner les informations recueillies lors des évaluations et de déterminer si l'engagement avec le fournisseur de services technologiques proposé est conforme aux objectifs et aux niveaux de tolérance au risque de l'organisation. Une évaluation approfondie aujourd'hui aidera à éviter de plus gros problèmes à l'avenir.

Robert Neill est directeur des services consultatifs CIO pour Weaver, une société nationale de CPA et de conseil.