Una de las tendencias y opciones de gestión de riesgo generalmente aceptadas es la tercerización, ya que esto te permite transferir ciertos aspectos operativos y cierta parte de las consecuencias, a un proveedor cuyo compromiso es satisfacer con ciertas métricas previamente establecidas, mediante un contrato bajo la pena de alguna consecuencia económica relacionada con los montos a pagar por parte del cliente.

Ciertamente es una opción válida, sin embargo, por lo general algunos de los clientes que tercerizan ciertas operaciones no tienen algunas cosas claras, y luego cuando caen en cuenta de las limitaciones y consecuencias de dicha decisión, sienten que fueron engañados, o que el suplidor no cumplió, cuando realmente lo que sucedió fue que se tomó una decisión poco informada ya que nunca llevaron a cabo la debida diligencia para entender las implicaciones de este proceso y se limitaron a los “slides” del prospecto proveedor que terminan soportando todo lo que en la presentación se encuentre escrito.

A continuación, algunas consideraciones para los que tienen que considerar dicha opción. Tomaremos los servicios de SOC (Centro de Operaciones de Seguridad) como ejemplo para nuestra discusión.

1.    Determine bien que es lo que quiere lograr con este contrato

Dentro de los objetivos que regularmente se persiguen están, la adquisición de experiencia externa, reducción de costos, consecuencias directas de la operación de ese proceso o simplemente ha hecho la compra mediante una historia que le hiciera algún peer la cual todavía no ha sido validada en el tiempo.

Es como las personas que solo te cuentan la parte bonita de ser emprendedor, pero no te dicen de los retos administrativos, financieros, fiscales, liquidez, personal calificado, lealtad y toda una cantidad de retos que simplemente no te contaron en ese momento, y que luego te dicen que los retos los están volviendo locos.

Evalúa de manera muy exigente tus objetivos, no pierdas de vista los conceptos de TCO (Costo Total de Propiedad) a tres años, CAPEX, OPEX y tome una decisión consciente.

El hecho de que otros lo hayan hecho no significa que su modelo aplica a tu realidad.

2.    Debida diligencia

Se refiere al proceso que toda organización responsable y razonable, decide investigar las implicaciones de la toma de una decisión, contrato o acuerdo, especialmente si esta decisión va afectar tu capacidad de cumplir con responsabilidades contractuales y que la capacidad ya no estaría dentro de tu organización o bajo el control de esta, sino bajo el control del proveedor.

Esto es más importante de lo que las organizaciones piensan, porque al final del día, lo que se contrata es cierta porción de las consecuencias porque la responsabilidad sigue siendo de la primera parte, no del proveedor, y que pudieran tomarse ciertas acciones legales por incumplimiento.

3.    Primero evalúa tu propia organización

Determina tu nivel de madurez real a lo interno, pues una tercerización no te exime de la responsabilidad de gestionar el incidente desde la organización.

Algunos piensan que con tercerizar los servicios de SOC todos sus problemas quedarán resueltos, a menos que sea una contratación completamente externa pero que funcione dentro de la organización, siempre habrá una responsabilidad, decisiones que tomar, y esto no lo puede hacer un tercero con una delegación parcial.

En lo general casi todas las implementaciones en nuestras organizaciones serán híbridas, donde pueden subcontratar una parte del personal y los procesos, quizás las de primer nivel, o también las de último nivel por tema de especialización, pero la respuesta siempre será la interna. Esa responsabilidad no es delegable, aun cuando la realizara un tercero.

4.    Términos claros en los contratos

Pon en blanco y negro los tiempos de implementación y sus consecuencias, pues no es extraño que luego que se firma un contrato de este tipo, en el que una organización externa tiene que interactuar con tu infraestructura y conocer lo que es lo normal dentro de los niveles operativos de la infraestructura – cosa que posiblemente ni siquiera la misma organización contratante sabe qué es lo que es lo normal – un proyecto de esta naturaleza puede prolongarse mucho más tiempo de lo prometido en su parte de implementación, por lo que los términos de negociación deben de incluir las vías de escape de un proyecto cuya implementación inicia mal y tiene altas probabilidades de que termine mal.

Por lo tanto, establece por contrato que luego de cierto período de tiempo sin lograr las metas acordadas la organización puede dar por terminado de manera automática el contrato de tercerización sin ninguna consecuencia legal ni económica y que toda la información recolectada relacionada con la organización sea destruida bajo firma notarial externa.

5.    Los contratos solo reflejan intención

Los contratos y acuerdos de confidencialidad solo expresan una intención, no hay manera de hacerlos cumplir al pie de la letra.

Esto lo digo debido a que son personas las que estarán manejando tu información y parte de tus procesos, ¿qué garantías tienes del manejo de esta información?

No es extraño el ver como a diario se dan brechas de información en la que evidencias recolectadas por sistemas de video vigilancia, tanto estatal como privados, salen a la calle y crean una situación reputacional mayor que el incidente mismo, por lo que debes también prepararte para gestionar y responder los incidentes relacionados con tu proveedor de monitoreo y respuesta.

6.    Depuración del personal

Si los procesos de depuración de tu personal internos son exigentes, los de tu proveedor no pueden ser menos exigentes.

Esto porque de nada sirve todo tu proceso de incorporación de nuevos empleados si al final la información sensible pasará por manos y ojos que no han sido depurados o que el proceso de duración ha sido deficiente.

Esto pudiera indicar que para fines de contratación de un tercero tú organización quisiera formar parte del proceso de selección, pues así podrías cubrirte un poco de las debilidades del proveedor, que por lo regular estaría más concentrado en hacer su organización más eficiente en cuanto a lo económico que efectivo en cuanto a la seguridad de sus clientes.

Para entender mejor este punto piensa en por qué tiene personal de bajo costos, ya sea por preparación o por experiencia.

Esto hay que resaltarlo especialmente por la gran cantidad de personal extranjero “cualificado” que está llegando a nuestros países, pero del que no se tiene ningún tipo de información de su pasado.

¿Pudiera alguien delinquir en su país, inclusive ser perseguido por las agencias de seguridad internacionales, y simplemente “metamorfosearse” en otro país?

7.    Competencias

La forma de la industria validar competencias es mediante certificaciones profesionales, por que deberías poder recibir evidencia que el equipo que estaría trabajando con organización de parte del prospecto proveedor ha agotado el proceso de formación y demostración de competencias, de lo contrario pon en duda la seriedad de la inversión en la capacitación del personal que dicha organización realiza.

Además, hay que tener presente que haciendo uso de “métodos-no-legítimos” una persona puede acceder materiales de estudios “no oficiales” o métodos alternativos de aprendizaje y pasar un examen tan solo en un fin de semana, por lo que deberían también considerarse los años experiencia que tiene tal personal, aunque tenga una certificación que pudiera ser obtenida de manera rara.

También tu organización pudiera estar interesada en conocer del plan de desarrollo del personal que estaría trabajando con su información sensible.

8.    La seguridad es de doble vía

Si hemos reconocido la necesidad de disponer de todos los elementos de gobernanza tales como políticas, estructura, reportes, escalamiento y métricas de desempeño, así como revisiones periódicas para nuestras organizaciones, también debemos requerir lo mismo como mínimo de nuestros proveedores.

Claro, a esto se le suele responder que por razones de seguridad ellos no te pueden mostrar o compartir sus políticas internas y los niveles de desempeño, pero que ellos si pueden ver tu información.

La respuesta a esto es bien sencilla, luciría todavía tienen un camino por recorrer y oportunidades de desarrollo en cuanto a la transparencia y podría verse como la institución financiera que está dispuesta a recibir tus ahorros pero que no publica su información financiera operativa.

Pregunta sencilla: Si los grandes proveedores, impersonales por demás, publican su información operativa y de manera proactiva te informan cuando tienen sus incidentes propios, ¿por qué mi proveedor personalizado a mi organización no podría compartirla con tu organización?

9.    Identifica las limitaciones del servicio

A veces ciertos contratos de tercerización están concebidos de tal manera que finalmente no queda claro que es lo que agregan ni de que se hacen responsable y hasta donde llegan con esta responsabilidad.

Esto sucede muy a menudo con ciertos contratos de adhesión, donde el cliente termina teniendo muy poca o ninguna protección.

Si sucede lo peor ¿hasta donde te acompañan? ¿Asumirían alguna responsabilidad civil por pérdidas como consecuencia de su gestión? Esto hablaría claramente de que tanto puedes confiar en ellos como socios en un proceso crítico.

A veces los términos son un poco engañosos, como la garantía de ciertos vehículos que te dan tres años de garantía o un millón de kilómetros recorridos, o cualquiera que suceda primero, sabiendo que nunca llegarás ni remotamente a recorrer ese kilometraje, cuando los términos son así ten cuidado, pudieran ser términos engañosos.

10.                      Establece por escrito los niveles de servicio y las matrices de escalamiento

Este tipo de servicio es crítico en sí mismo, por lo que deben ser muy claros los tiempos de notificación, “triage”, escalamiento y posibles consultas externas especializadas para poder responder tanto a tiempo como a mantener un incidente controlado.

Se deben llevar las métricas correspondientes a cada uno de los indicadores acordados para validar que el proveedor está siendo efectivo en la labor contratada y hacer los ajustes oportunos en el proceso.

De lo contrario todo esto resultaría no solo en una pérdida de tiempo, sino en un entorpecimiento del proceso y desperdicio de recursos.

Estos son solo algunos puntos que considerar en cuanto a los procesos de tercerización, que terminan siendo una puerta de entrada no controlada ni revisas tanto a tus procesos internos como a los activos de información y otros aspectos que podrían impactar significadamente la reputación de tu organización.

La tercerización de proceso tan importantes como el monitoreo, gestión y respuesta de incidentes pude agregar a una organización las capacidades que le hacen falta de manera inmediata

Recuerda que estás contratando una organización experta con personal experto con procesos maduros, ellos por su parte te van a cobrar como expertos de clase mundial, por lo que tu debida diligencia y tus expectativas deberían ser también de clase mundial.