César Pallavicini Z., CEO de Pallavicini Consultores.
¿Hoy los procesos de negocio son bien soportados por las TIC?
Los servicios de Tecnologías de Información y Comunicaciones (TIC) son claves para soportar los procesos de negocio de las empresas, cualquiera sea su rubro o tamaño. Por esta razón, la continuidad operacional de estos servicios TIC es fundamental y es necesario que estén documentados y se realicen continuamente sin dependencia del personal TIC, es decir, que estén sistematizados de manera que se ejecuten fluidamente.
Por otra parte, los proveedores que se relacionan directa o indirectamente con estos servicios deben cumplir con la continuidad operativa de estos, debiendo existir un contrato que lo regule con SLAs (Service Level Agreements), un “uptime” por sobre el 98,99% y con el debido resguardo de la información del cliente. Esto es vital para una relación de largo plazo.
¿Cuales son los errores más comunes en las empresas al externalizar estos servicios?
Entre los errores que se traducen en mayores riesgos, podemos mencionar: iniciar proyectos con una orden de compra, sin el contrato de servicio firmado; elaborar un contrato de servicio, sin que nunca se firme por ambas partes; firmar el contrato sin el análisis o visto bueno del Oficial de Seguridad de la Información y/o analistas de riesgo operacional, o sin que el abogado y/o fiscal lo visen; y pagar la factura del servicio mensual contratado, sin revisar SLAs o uptime.
En estos errores también está el permitir o dar acceso a servidores y/o sistemas de información críticos, a proveedores sin tener información básica del personal enviado por el proveedor que realiza el soporte y/o mantención; no cambiar la password de alto nivel, luego de que personal del proveedor asista a la empresa, riesgo que equivale a “dejar la puerta abierta”; y transmitir o intercambiar archivos con información confidencial con proveedores en canales inseguros, sin utilizar encriptación o cifrado seguro.
Asimismo, las empresas cometen errores al establecer contratos con proveedores críticos, sin incorporar cláusulas de gestión de riesgo operacional, tales como asegurar el servicio en modalidad 24×7, que el proveedor demuestre que tiene un plan de continuidad operacional del servicio o exigir pruebas de contingencias al proveedor (que muestre evidencia de dos pruebas reales al año).
¿Existen normas ISO que se pueden desarrollar para tener mejores prácticas?
Sí. En este sentido, sería excelente que se utilizara la familia de normas ISO 27001, ya que es triste ver que solamente 120 compañías estén certificadas en Chile, en Gestión de Seguridad de la Información. Por otra parte, algunas empresas al contratar servicios en la nube, no tienen conocimiento formal de dónde están físicamente los datos y tampoco cómo se eliminarán al término del contrato de servicio y menos aplican la norma ISO 27018 (ver www.pallavicini.cl).
Hoy, dada la crisis que nos impacta como país y la gran cantidad de empresas que han visto afectada su continuidad operativa por falta de personal, es importante actualizar o hacer un plan de continuidad de negocio (ISO 22301) que incorpore escenario de falla “sin personal” por causa de transporte público.
Basándose en su experiencia, ¿qué recomendaría a las empresas en este contexto?
Hay varios temas, pero creo que lo esencial es que tengan una visión de gobernanza, que implementen normas internacionales o frameworks, tales como ISO 31000, Cobit, ITIL u otros que permitan formalizar y documentar los servicios de TIC que soportan los procesos de negocio de toda empresa.
