La gestión de los riesgos derivados del outsourcing

En los últimos años está habiendo una clara tendencia por la externalización de servicios, especialmente aquellos que están basados en una serie de tecnologías más novedosas y que permiten actuar con más agilidad para prestar unos servicios de mayor valor para los clientes, aseguraba Pablo Martín González, socio de Risk Advisory de Deloitte.

Los modos de gestión de este tipo de riesgos, tradicionalmente, se venían haciendo de una manera in-house, con recursos propios y esta nueva tendencia hacia la externalización hace que "las compañías tengan que poner foco en el control de la adecuada prestación de los servicios que dan estos proveedores", explicaba Martín.

Por lo que se refiere a los principales aspectos en la gestión de riesgos del outsourcing, la prestación en estos modelos debe garantizar sin ninguna duda que la continuidad de los servicios esté garantizada. Las operaciones no deben sufrir ningún tipo de retraso ni de latencia derivado de que las operaciones no se realicen in-house, y en cambio se presten desde un proveedor. Además, todos los aspectos relacionados con la seguridad deben estar blindados.

Sin embargo, durante la presentación del estudio, Elisa de Hevia Gisbert comentó que los datos reflejan que "la efectividad de las herramientas de gestión de riesgos todavía no están muy bien valoradas en las compañías". De hecho, el 60% de los encuestados califica la efectividad de las herramientas actuales de gestión de riesgos por debajo del 5 sobre 10.

Para la regulación de los riesgos derivados del outsourcing, existen algunas normativas. Por un lado, la guía ICT Risk emitida por la EBA viene a controlar determinados dominios de riesgo, y uno de ellos tiene que ver con controlar riesgos de outsourcing. Por lo que se refiere a regulaciones más recientes, tenemos la guía de la EBA en servicios de outsourcing, que entró en vigor el pasado 1 de octubre. En el caso de las compañías aseguradoras, disponemos de la guía publicada por EIOPA, en fase de borrador, relacionada con el outsourcing de servicios en cloud. Precisamente durante la ponencia, Martín explicó en detalle la situación actual de las Directrices de EIOPA para la gestión de externalizaciones en cloud.

Con carácter general, esta clase regulación establece una serie de obligaciones relacionadas con una adecuada gestión de los riesgos en todo el ciclo de vida de relación con los proveedores. Esto implica desde el principio, desde la detección de la necesidad, hacer una serie de análisis que den el visto bueno a que ese proveedor va a ser capaz de prestar el servicio correctamente.

Las compañías que están sujetas a regulación y por tanto a supervisión dentro del mundo financiero son las organizaciones a quienes afecta esta regulación. Estas serían las entidades de crédito, las instituciones financieras y las entidades de pago, en el caso de las guías emitidas por la EBA. Y en el caso de la guía emitida por la EIOPA, dado su carácter de borrador, esperamos que en los próximos meses tengamos noticias respecto a su fecha definitiva de publicación y de entrada en vigor de las obligaciones.

En cuanto a los beneficios que aporta esta regulación, un lado positivo es que da la oportunidad a las compañías afectadas de realmente montar un sistema de gestión de riesgos que permita anticipar todos estos impactos y minimizar los costes asociados a la ocurrencia de algún tipo de incidente y al mismo tiempo ganar poder de negociación con los proveedores.

Martín y de Hevia recalcaron durante su intervención que "es necesario desarrollar una política muy clara sobre externalización y mantener informada a la alta dirección en todo momento".

Finalmente, Carlos Martín, del área de ciberseguridad de Deloitte, explicó cuáles son los riesgos principales que nos podemos encontrar cuando trabajamos en cloud.