En la actualidad, muchas organizaciones subcontratan varios aspectos de la resiliencia, como el desarrollo de planes de continuidad empresarial y recuperación ante desastres, la realización de análisis de impacto empresarial y la realización de ejercicios de prueba. Las organizaciones que invierten de forma proactiva en resiliencia suelen realizar la mayoría o todas las funciones de resiliencia, como BC/DR, internamente. Para otros, la subcontratación es el nombre del juego para tareas como la planificación de BC/DR, los análisis de impacto comercial y la realización de ejercicios de prueba.
Es más probable que las organizaciones que no se han comprometido significativamente con la continuidad del negocio y la recuperación ante desastres, o que no han invertido en ellas, subcontraten ciertas funciones para sentirse marginalmente preparadas. Es posible que, por ejemplo, necesiten satisfacer los requisitos de los clientes actuales o potenciales que necesitan confirmación de las actividades de resiliencia existentes.
La externalización de servicios de resiliencia empresarial no es un concepto nuevo, pero en los últimos 10 años ha mejorado. Las ofertas de BC/DR de hoy en día son más sofisticadas que en años anteriores y, por lo general, están basadas en la nube, lo que las pone a disposición de la mayoría de las empresas. Los productos y servicios se adaptan fácilmente a las necesidades empresariales actuales. A continuación, reexaminamos los matices de la externalización de la resiliencia.
Empezando
Se ha demostrado que la subcontratación ahorra dinero y aumenta la productividad mediante la transferencia de funciones como las operaciones de TI a terceros experimentados. Las empresas de subcontratación pueden estar ubicadas prácticamente en cualquier lugar y utilizan cada vez más plataformas basadas en la nube para crear y brindar servicios de resiliencia comercial, como proporcionar continuidad comercial confiable y planificación de recuperación ante desastres. Todavía existen preocupaciones con respecto a dónde se realiza el trabajo subcontratado, particularmente si es en un país diferente. Sin embargo, muchas de estas preocupaciones pueden mitigarse mediante un control de gestión eficaz sobre los recursos subcontratados.
La subcontratación comienza definiendo lo que se debe hacer, identificando los recursos disponibles para realizar el trabajo, obteniendo financiamiento y asegurando el apoyo de la alta gerencia. Muchas empresas están disponibles para brindar servicios de BC/DR que van desde el desarrollo y ejercicio de programas hasta el respaldo/almacenamiento de datos y sitios de recuperación de emergencia. Algunas son físicas, mientras que otras son empresas de servicios gestionados basadas en la nube. Las firmas de consultoría de resiliencia pueden proporcionar evaluaciones, así como el desarrollo del plan, el ejercicio y el mantenimiento de forma única o continua.
Para requisitos comerciales más grandes, como copia de seguridad de datos/almacenamiento y recuperación de aplicaciones, centros de datos de copia de seguridad y espacios de trabajo alternativos, las principales empresas como IBM, Amazon, Microsoft y Regus ofrecen muchas opciones diferentes, generalmente con componentes en la nube.
Haga su debida diligencia
Antes de buscar posibles empresas de subcontratación de resiliencia, analice sus necesidades haciéndose las siguientes preguntas:
- ¿Cuáles son sus requisitos de resiliencia?
- ¿Qué hay que externalizar?
- ¿Qué tipo de acuerdo de subcontratación se necesita?
- ¿Qué productos/servicios se necesitan?
- ¿Qué fondos están disponibles?
- ¿Cuál es la posición de la alta gerencia sobre la subcontratación?
- ¿Qué riesgos están asociados con la subcontratación?
- ¿Qué proveedores están calificados y disponibles?
- ¿Qué pasos hay que dar?
Según las preguntas 1 y 2, los siguientes servicios mínimos de resiliencia empresarial deberían estar disponibles de proveedores, desde proveedores de servicios gestionados hasta empresas de consultoría:
- Evaluaciones de operaciones existentes
- Evaluaciones de planes existentes
- Evaluaciones de riesgo
- Análisis de impacto comercial
- Desarrollo de estrategias
- Desarrollo del plan BC/DR
- Desarrollo de políticas
- Plan de ejercicio
- Concienciación sobre amenazas y formación
- Mantenimiento del plan
- Gestión de programas
- Copia de seguridad y recuperación de datos
- Espacio de oficina alternativo
- Resiliencia de red/infraestructura
- Selección de software/aplicación
Si no está totalmente seguro de sus requisitos, considere publicar una solicitud de información para conocer mejor a los posibles proveedores y sus ofertas. Si conoce sus requisitos de subcontratación, emita solicitudes de propuestas (RFP) para obtener cotizaciones de precios formales y haga que su departamento legal las revise.
En cualquier RFP, asegúrese de abordar lo siguiente:
- Disponibilidad de las tecnologías y los servicios de gestión necesarios
- Costos únicos y recurrentes
- Capacidad para respaldar los objetivos del proyecto, los entregables, los requisitos de desempeño y cumplimiento, y los daños por liquidez
- Perfil del proveedor, estrategia y misión
- Evidencia de estabilidad y reputación del proveedor
- Estado financiero del proveedor, como revisiones de estados financieros auditados
- Capacidades del personal, como gestión de proyectos, experiencia técnica y credenciales de los empleados.
- Evidencia de metodologías que abordan la calidad, el cumplimiento normativo y la seguridad
- Ejemplos de proyectos exitosos; referencias de los clientes
- Estabilidad de la infraestructura y capacidades de recuperación ante desastres
- Controles de seguridad y auditoría
- Cumplimiento legal y regulatorio, incluidas quejas o litigios
- Política sobre el uso de subcontratistas
- Cobertura de seguro, como responsabilidades, errores y omisiones
- Políticas e iniciativas corporativas de proveedores para la resiliencia y la seguridad
A medida que avanzamos en la próxima década, los programas de resiliencia aún se enfocan en proteger al personal, los activos de la empresa y los intereses de los accionistas. Los servicios de resiliencia empresarial de terceros hoy en día son sofisticados, flexibles y adaptables. Los profesionales de la resiliencia deben asegurarse de que el negocio se mantenga en funcionamiento, manteniendo la continuidad del negocio durante las interrupciones y facilitando una recuperación rápida. A medida que el nivel de tiempo de inactividad aceptable se acerca a cero, la subcontratación de funciones de resiliencia como la continuidad del negocio y la recuperación ante desastres es una forma popular de garantizar la supervivencia del negocio mientras se mantiene al día con la dinámica empresarial cambiante.