SLA (Service Level Agreement)

Transcripción

1 Aspectos contractuales de la prestación de servicios IT. Elaboración de SLA s. La visión del auditor Los aspectos contractuales de la prestación de servicios IT Instituto de Empresa PALOMA LLANEZA 4 de diciembre de 2007 Estipulaciones donde se fijan los niveles de un servicio en función de una serie de parámetros objetivos, establecidos de mutuo acuerdo entre ambas partes: por ejemplo, se refleja contractualmente el nivel operativo de funcionamiento, penalizaciones por caída de servicio, limitación de responsabilidad por no servicio... Documentación: En la que consta los niveles mínimos de servicio que el proveedor se compromete a asumir, y cuya falta originará las oportunas penalizaciones. Como una cláusula en el contrato. Como un Anexo Técnico: verificar que no hay contradiccón con el cuerpo del contrato. Dependiendo de la complejidad de los parámetros de determinación de los niveles de calidad pactados y otras cuestiones conexas, es recomendable estructurar el SLA como parte del contrato de servicio respecto del cual se pacta acompañándolo como un anexo. Como un contrato independiente: verificar que queda adecuadamente vinculado con el contrato principal y que no incurre en contradicciones con él. 2 1

2 Factores a tener en consideración Servicios de acceso a Internet: los factores que se tienen en consideración suelen ser la disponibilidad del servicio frente a caídas de red, la seguridad y la velocidad de conexión. Servicios de hosting: los principales puntos a cubrir suelen ser el tipo de servicio, soporte a clientes y asistencia, provisiones para seguridad y datos (control del acceso a esa información, gestión de claves y perfiles, encriptación, integridad frente a ataques informáticos o virus), garantías del sistema y tiempos de respuesta, disponibilidad del sistema, la conectividad (transmisión de ficheros, descarga de los mismos y operaciones de creación, modificación y eliminación de los mismos) y las penalizaciones i por caída del sistema. it Servicios de mantenimiento: tipos y tiempos de respuesta, escalado de disponibilidades, días y horarios a los cuales estará disponible el servicio garantizado para el contratante del mismo. 3 Penalizaciones Incluir penalidades convencionales, sustitutivas o no de daños y perjuicios, para el caso de incumplimiento de los niveles garantizados de servicio en base a los parámetros pactados y según los sistemas de evaluación correspondientes. Obligaciones con cláusula penal: la pena sustituirá a la indemnización de daños y el abono de intereses en caso de falta de cumplimiento. Riesgo: limitación encubierta de responsabilidad del prestador de servicios frente al cliente que contrata el servicio. Contratos de adhesión: si limitación es desproporcionada y, por tanto - cláusula abusiva - declaración de nulidad - cálculo de daños y perjuicios bajo el régimen general. 4 2

3 Aspectos críticos La definición de procedimientos estándares y los mecanismos de evaluación y seguimiento. Tener en consideración. Por otro, es necesario en su redacción seguir o tener en consideración los siguientes aspectos: Definición de Objetivos: mejora de la eficacia, reducción de costes, formalización de la relación Identificar expectativas: qué es lo que espera la organización de este acuerdo. Adecuada planificación temporal Optimización/rediseño de procesos (revisar los procesos si el SLA no asegura ningún cambio o como mínimo formalizarlos) 5 Errores más frecuentes en la implantación de SLA: Definición de niveles de servicio inalcanzables La regulación excesiva Error en la definición de prioridades La complejidad técnica La irrelevancia (si un SLA no tiene ningún efecto sobre el cliente, el objetivo no tiene sentido) 6 3

4 Derechos de revisión y auditoría Fijar en contrato Facultad de realizar, siempre que sea necesario, auditorias SI pertinentes en los localesl y equipos de la prestadora y de las entidades d subcontratadas t para comprobar el nivel de cumplimiento del contrato y SLA o a entregar auditoría por auditor independiente. Fijar sistema de elección e imputación de pago. Compromiso de facilitar el acceso directo y sin restricciones a los locales, equipos, documentación y/o información que precisen. Obligación de entrega de cualquier auditoría realizada por iniciativa propia o por requerimientos legales, juntamente con el análisis y las conclusiones obtenidas. Estos compromisos han de constar a su vez en los contratos del outsourcer con terceros y han de ser verificados antes de la firma del contrato. 7 Planificación de la Identificación de los departamentos involucrados Identificación de todos los bienes adquiridos o arrendados (renting, leasing) y servicios SI que se reciben o se prestan Solicitud de todos los contratos, ofertas, aceptaciones y demás documentación de naturaleza contractual en los que se sustenta los bienes adquiridos y los servicios prestados/recibidos Entrevistas con los responsables de los departamentos previamente identificados 8 4

5 Planificación de la Obtención del conocimiento El auditor debe, entre otros: Entender la naturaleza, oportunidad, y alcance de los servicios contratados Establecer qué controles se han implantado para asegurar el requerimiento del negocio garantizar que las funciones y responsabilidades de las terceras partes contratadas están claramente definidas,,que se cumplen y satisfacen los requerimientos Identificar y evaluar los riesgos asociados con los servicios recibidos 9 Planificación de la El auditor de SI debe, entre otros: Analizar y evaluar si el alcance de los controles establecidos por el área que recibe el servicio proporcionan una garantía razonable que los objetivos del negocio se alcanzarán y que las situaciones negativas se evitarán, se detectarán y corregirán sin perjuicios para el negocio Determinar si el alcance los servicios recibidos incluyen, si fuese aplicable, la provisión de una auditoría sobre estos, y si esta provisión es adecuada 10 5

6 Recursos necesarios El auditor de SI debe, entre otros: Obtención si fuese necesario de un experto legal Expertos en la tecnología implícita en el proyecto a desarrollar Información de referencia de otros usuarios o clientes Información sobre los estándares y normas consensuadas con el proveedor aaplicar 11 Tareas a realizar El auditor de SI debe, entre otros: Revisar el contrato entre la organización y el proveedor y determinar si las prestaciones y las responsabilidades del proveedor están adecuadamente reflejadas para asegurar el control del proyecto Nivel de servicio (SLA) Razonabilidad de los cargos del proveedor y proceso de facturación y pagos Responsabilidad del proveedor por las comunicaciones, sistema operativo, compatibilidad, software de utilidad, controles de acceso y administración 12 6

7 Tareas a realizar Gestión y supervisión de las incidencias Especificaciones de la propiedad de los activos de información Especificaciones de la propiedad de los programas desarrollados Requerimientos de documentación Acuerdos de depósito de fuentes Procedimientos y supervisión de cambios Provisiones de planes de contingencia y recuperación Provisiones para el cambio del alcance y cláusulas del contrato 13 Realización de Pruebas Vigencia de los contratos Comprobación de si se están cumpliendo adecuadamente por la empresa: riesgo económico por indemnización/reclamación o posible sanción de la APD Identificación de los servicios: comprobación de si hay un contrato que los sustenta Seleccionar una muestra de facturas pagadas por el servicio de procesamiento de datos del proveedor externo, y comparar: A) Con el esquema de pagos y servicios acordados en el contrato B) Revisar si existen quejas o reclamaciones pendientes por el servicio C) Realizar entrevistas con los usuarios para conocer su opinión sobre el servicio (disponibilidad, errores, recuperación de información, etc.) 14 7

8 Muchas gracias Contacto Paloma Llaneza González Abogado