Ukryte niebezpieczeństwa dla Zarządu w umowach ERP

3 ukryte niebezpieczeństwa w umowach ERP jakie odkryłam przy negocjacjach tych umów.

BRAK PROCEDUR BEZPIECZEŃSTWA PRZY DOSTĘPIE ZDALNYM DLA WYKONAWCY.

– A macie Państwo procedurę zdalnego dostępu do systemu? Bo serwisanci systemu ERP będą mieć dostęp do pełnej bazy danych systemu. System zarządzania bezpieczeństwem informacji? Coś na czym możemy się oprzeć opracowując załącznik do umowy wdrożeniowej?

Zapada kłopotliwa cisza. Po chwili:

-Mamy niby ISO 27001, ale bez audytu.

– Ale weryfikujecie działanie tych procedur w praktyce? Jakieś audyty wewnętrzne? Regularne rewizje tych procedur? Szkolenia?

Zapada cisza jak stukilogramowa kotara.

Konsultanci, deweloperzy, serwisanci i sztab innych osób pracujących dla dostawcy będzie miał dostęp do systemów w wersji produkcyjnej. Wcześniej we wdrożeniu być może już na środowisku szkoleniowym do bazy danych z rzeczywistymi danymi.

BRAK SCENTRALIZOWANEGO U ZAMAWIAJĄCEGO REPOZYTORIUM WSZYSTKICH DOKUMENTÓW W PROJEKCIE = DOWODÓW.

– Gdzie będzie gromadzona dokumentacja projektu?

– Dostawca nam „wyszeruje” u siebie w chmurze.

Dostęp do systemu dostawcy z takim katalogiem, albo dostęp do chmury dostawcy to nie jest najlepsze rozwiązanie. Komplet dokumentacji powinien być miejscu zorganizowanym przez Zamawiającego.

ZAŁĄCZNIK Z ZAKRESEM WSPÓŁDZIAŁANIA

Jeśli są jakieś miejsca w umowie wdrożeniowej, gdzie z głębi oceanu wyłaniają się ogromne morskie stwory i nie wiedzieć czemu lądują wyrzucone plażę, to na pewno jest nim ten załącznik. Niektóre z nich są bardzo rzadkie, pochodzą z niezgłębionej części oceanów. Żeby ustalić czym są trzeba do licha zatrudnić z trzech ekspertów.

Ostatni jaki czytałam w dużym skrócie zakładał, że zamawiający zrobi wdrożenie sam, przy drobnym wsparciu wykonawcy oczywiście w wynagrodzeniu T&M.