Esta pregunta realmente se remonta a la gestión de riesgos, y ni siquiera estoy hablando de la gestión de riesgos derivada de la gestión de seguridad de la información.
Estoy hablando de gestión de riesgos de gestión de proyectos. Muchas empresas tienen una PMO (oficina de gestión de proyectos), pero menos tienen expertos en riesgos de proyectos.
Al determinar el alcance de un proyecto, como subcontratar la gestión de identidad a un producto de un proveedor, como RSA SecurID, los gerentes de riesgos del proyecto dirían "¿cuánto deberíamos poner en esta solución de proveedor único?" - no desde una perspectiva de seguridad, sino simplemente desde una perspectiva de "administrar el negocio".
En mi opinión, cuando una gran empresa va a comprar un producto y lo expande (esto se aplica también a la subcontratación y la computación en la nube, incluido SaaS también) existe la idea de no poner todos los huevos en una sola cesta. Si su proveedor principal desaparece, ¿qué tan fácil es trasladarse a un proveedor secundario o terciario?
Al planificar: es fácil simplemente ver cómo los proveedores / proveedores se dividen en porcentajes y sobrellenado. Si tiene una solución que es 100 por ciento interna, considere agregar una solución externa que cubra un vacío del 20 por ciento. Luego, agregue otro proveedor para otro 20 por ciento, un 40 por ciento fuera de la solución. Determine qué proveedor merece la pena de los dos después de un análisis de contabilidad de rendimiento (y probablemente de contabilidad financiera), así como de su propio desempeño de auditoría interna y métricas de negocio en torno a dicho producto.
Si una solución sobresale, toque otro 20 por ciento y si se comportan bien durante otro período de tiempo (un ciclo o iteración de seis sigma), agregue un 20 por ciento final. Luego tiene dos proveedores: uno al 20 por ciento, uno al 60 por ciento (y el 20 por ciento aún es interno). Como medida final, agregue una tercera solución proveedor / proveedor al 20 por ciento (para una solución completamente subcontratada). Sin embargo, retenga su capacidad de recurrir a su solución del 20 por ciento si es necesario durante un período de tiempo determinado. Mira cómo se desempeñan. Uso de su segundo y tercer proveedor: vea si alguno de ellos puede asumir otro 20 por ciento (como lo hizo su primer proveedor) durante las pruebas. Si se aprueban, realice los escenarios de falla en los que reduzca su proveedor primario al 40 por ciento y deje que el proveedor secundario o terciario tome ese 20 por ciento adicional durante un período de tiempo. Analice el uso de sus métricas y las herramientas Six Sigma sobre el desempeño de los proveedores secundarios y terciarios, y cambie los números si su proveedor principal le está fallando.
A largo plazo, podrá moverse rápidamente de un punto de solución a otro y, posiblemente, incluso volver a una solución interna. No se trata solo de la gestión de la seguridad de la información, la gestión de riesgos o las operaciones de recuperación de desastres / procesos empresariales. ¡Es una buena práctica de gestión de proyectos!