Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tercerización de
servicios
Recopilación de textos
1
Universidad de Buenos Aires
Facultad de Ciencias Económicas
Auditoría y Seguridad de los Sistemas de Información 1659-02
Contents
Tercerización ............................................................................................. 3
Conceptos: ............................................................................................. 3
Documentación de soporte al tercerizar servicios de TI ............................. 4
ITIL Y SERVICIOS SUBCONTRATADOS ........................................................ 5
COBIT.............................................................................................................. 6
PMBOK ........................................................................................................... 7
CMMI ............................................................................................................ 10
2.5 ISO 20000-1 ................................................................................................... 11
2.6 ISO 27000 ...................................................................................................... 11
2.7 SAS 70 CONTROL INTERNO ASOCIADO A SERVICIOS PRESTADOS
POR TERCEROS ................................................................................................ 13
Como efectuar un correcto control y gestión de las firmas contratadas ......13
Riesgos del outsorcing: ..........................................................................16
2
Universidad de Buenos Aires
Facultad de Ciencias Económicas
Auditoría y Seguridad de los Sistemas de Información 1659-02
Tercerización
Conceptos:
Ventajas de tercerizar
Da tiempo para enfocarse en las actividades vitales para el agregado de valor del
negocio.
3
Universidad de Buenos Aires
Facultad de Ciencias Económicas
Auditoría y Seguridad de los Sistemas de Información 1659-02
En muchos casos, se convierten en variables costos que de otra forma serían fijos
Desventajas de tercerizar
Para un funcionamiento sin fricciones exige entornos más cooperativos que la típica
relación de proveedor-cliente.
4
Universidad de Buenos Aires
Facultad de Ciencias Económicas
Auditoría y Seguridad de los Sistemas de Información 1659-02
Mellon, 2010) y eSCM-CL. (Loesche & A., 2006). Posteriormente se analizarán las
normas relativas a la seguridad de la información (International Organization for
Standardization e IEC (International), Normas de auditoría entre otras.
COBIT
6
Universidad de Buenos Aires
Facultad de Ciencias Económicas
Auditoría y Seguridad de los Sistemas de Información 1659-02
tiempo que se obtiene un balance entre el riesgo y el reto sobre las TI y sus
procesos.
PMBOK
CMMI
Para este estándar, los procesos que serán de interés, apoyo y que brindan
aspectos a tener en cuenta en el momento de evaluar si se terceriza o no un
proceso de TI son los que se refieren a:
Organización interna, en especial el 6.1.5 Acuerdos de confidencialidad
(ISO/IEC 17799, 2005), organización de la seguridad de la información, en
11
Universidad de Buenos Aires
Facultad de Ciencias Económicas
Auditoría y Seguridad de los Sistemas de Información 1659-02
del servicio de terceros, la entrega del servicio (ISO/IEC 17799, 2005), monitoreo y
revisión de los servicios de terceros y el manejo de cambios en los servicios de
terceros
13
Universidad de Buenos Aires
Facultad de Ciencias Económicas
Auditoría y Seguridad de los Sistemas de Información 1659-02
y Control de Sistemas de Información - Licenciatura enSistemas
de Información - Facultad de Ciencias Económicas - Universidad
Esta práctica es
de Buenos cada vez más utilizada por las compañías, a través de distintas
Aires
figuras como pueden ser agencias de colocación, cooperativas de trabajo, empresas
de servicios eventuales, o bien la contratación, subcontratación y tercerización de
servicios, como así también la cesión parcial o total de un establecimiento o la
segmentación de sus procesos productivos.
Simplificando, se solicita a un tercero la realización de determinados servicios que el
principal requiere para que otro lo ejecute.
En el entendimiento que ese proveedor de los servicios tiene una determinada
especialización en el proceso adjudicado que el principal no tiene y como
consecuencia lo podrá hacer en forma más eficiente y eficaz por contar con el know
how, equipos y personal especializado adecuado.
Es una condición, entonces, que este proceso adjudicado al tercero no corresponda
al "Core Business" de la actividad del principal, es decir, que deben ser procesos,
tareas, servicios accesorios o complementarios. También se incluyen aquellas de
carácter estacional expuestas a los vaivenes del mercado.
Otro aspecto que no se debe descuidar es la adecuada preparación de un acuerdo
comercial escrito entre las partes, que establezca una clara diferenciación de las
personas o entidades jurídicas, las responsabilidades y obligaciones que asume cada
parte, de forma de evitar cualquier posible violación a disposiciones legales que
pueda ser interpretada o relacionadas como un fraude laboral, lo cual a la luz de las
últimas sentencias requiere cada vez más la intervención de los profesionales que las
garanticen.
A modo de síntesis y con el fin de reducir el riesgo de posibles reclamos judiciales o
de mitigar la responsabilidad del principal contratante de los servicios ante ellos, nos
permitimos hacer las siguientes recomendaciones:
Confección y firma de un adecuado contrato comercial entre las
partes estipulando la duración, detalle del servicio, inversiones, indicadores de
cumplimiento, entre otras cuestiones.
Registración formal de los trabajadores incluidos en el servicio, cumplimiento
de las disposiciones legales, encuadramiento en el convenio colectivo
que efectivamente corresponda a la actividad que presta y de la existencia de
relación de dependencia del personal con el contratista.
14
Universidad de Buenos Aires
Facultad de Ciencias Económicas
Auditoría y Seguridad de los Sistemas de Información 1659-02
15
Universidad de Buenos Aires
Facultad de Ciencias Económicas
Auditoría y Seguridad de los Sistemas de Información 1659-02
16
Universidad de Buenos Aires
Facultad de Ciencias Económicas
Auditoría y Seguridad de los Sistemas de Información 1659-02
17
Universidad de Buenos Aires
Facultad de Ciencias Económicas
Auditoría y Seguridad de los Sistemas de Información 1659-02
18
Universidad de Buenos Aires
Facultad de Ciencias Económicas
Auditoría y Seguridad de los Sistemas de Información 1659-02
19
Universidad de Buenos Aires
Facultad de Ciencias Económicas
Auditoría y Seguridad de los Sistemas de Información 1659-02
20
Universidad de Buenos Aires
Facultad de Ciencias Económicas
Auditoría y Seguridad de los Sistemas de Información 1659-02
21