Muchas organizaciones contratan a un proveedor de IT, y reciben un excelente servicio. Otras..., no. Una gran cantidad de empresas pasa por diferentes estados de dificultades e insatisfacciones respecto a sus proveedores de productos o servicios de IT, y a veces incluso llegan a instancias judiciales. ¿Por qué? En muchas ocasiones el proveedor de IT con el que el cliente está disconforme, ¡está manejando toda o parte de la infraestructura y/o información de la empresa! Redes, comunicaciones, bases de datos, historial de clientes... información confidencial.
Existen recomendaciones, regulaciones y prácticas de auditoría informática que tienden a cubrir los requisitos mínimos de buen funcionamiento y control de un Centro de Cómputos y áreas de Sistemas y Tecnología (Basilea II, Sarbanes Oxley, ISO 17799).
También hay organismos a nivel mundial que están trabajando, entre otras cosas, en el asunto, como I.S.A.C.A. (Information Systems Audit and Control Association, en Estados Unidos), que cuenta con más de 22.000 miembros en 100 países.
La realidad es que tanto para el gerente general como para los gerentes financieros y asesores legales, resulta menos complicado derivar todo al responsable de IT, o entusiasmarse con la promesa de múltiples prestaciones al contratar al proveedor de IT, que analizar rigurosamente qué se necesita, para qué y si el producto ofrecido cuenta con las características funcionales, operativas, de seguridad, técnicas y regulatorias, entre otras, para cubrir esta necesidad. Pero, antes de poner toda la información de su empresa en manos de otra, es imprescindible tomar una serie de recaudos.
Acordar el nivel de servicio
La única manera de adquirir el sistema/producto que cumpla con el conjunto de requerimientos determinado es, en primer lugar, tener en claro qué se necesita, luego evaluar las características del producto o servicio a adquirir (para comprobar que coincidan con esta necesidad) y, finalmente, firmar un contrato de nivel de servicio (SLA, por sus siglas en inglés).
El SLA es un documento tipo contrato entre una organización y un proveedor de servicios externo, donde se clarifican los requisitos y expectativas del usuario y del proveedor, para que cada parte conozca sus responsabilidades y qué debe esperar de la otra.
Este no es un documento modelo-estático, sino un documento "viviente", que debe ser usado como una oportunidad para mejorar el ambiente de la actividad, del servicio y de las relaciones entre el proveedor y los usuarios, y debe considerar "premios y castigos".
Los factores clave de éxito de un contrato son una clara definición del problema: qué se busca, cuáles son los objetivos; riesgos y limitaciones del producto y/o servicio que se pretende contratar; el rol de cada una de las partes; la correcta elección del proveedor del producto y/o servicio (tal vez una condición indispensable).
Y se deben entregar documentos que indiquen claramente la definición detallada de alcance; la definición de organización y administración de proyecto; la lista de chequeo de entregables y la descripción y funcionalidad del producto y/o servicio.
El contrato debe ser equitativo y realista. Debe haber un balance justo entre el alcance, la complejidad del servicio, el valor agregado recibido y el precio. Finalmente: debido al rápido avance en el desarrollo tecnológico, todos los contratos y SLA deberán ser revisados al menos anualmente.
* Director de la Práctica de Asegura-miento de Procesos Informáticos de BDO - Becher & Asoc.; Profesional Certificado CISM en Gerenciamiento de Seguridad Informática y Auditor Certificado en Sistemas de Informa-ción, (CISA), otorgado por I.S.A.C.A.
