Estima-se que o mercado global, apenas, de terceirização de processos de TI tenha se fixado, em 2019, no patamar de US$ 1,5 trilhão (LIOLIOU, WILLCOCKS, 2019). Entretanto, diversos autores (p. ex: DHILLON et al., 2017) indicam que a taxa de erros (ou falhas) em tais serviços é alta, o que nos adverte sobre a presença de riscos e, por conseguinte, sobre a importância de gerenciar esses riscos. Em verdade, a segurança da informação está entre os três principais riscos presentes nas atividades e negócios de ITO - Information Technology Outsourcing (MOISEEV, 2020).
Claro está que qualquer processo de outsourcing (incluindo os de TI) se baseia em requisitos (mais ou menos detalhados) normalmente adotados a partir dos preceitos da ISO 37.500 e que serão utilizados para a formalização do escopo do próprio outsourcing pretendido e, após due diligence, na seleção dos potenciais prestadores de serviços para contratação.
No campo da Tecnologia da Informação, o processo de ITO eficaz implica em sistemas de governança e compliance ativos e bem implementados e, assim sendo, seu exercício se funda em certas teorias consagradas, por exemplo, teoria da agência, teoria de visão baseada em recursos, teoria do custo de transações e teoria da difusão da inovação, através das quais permite-se não apenas o correto gerenciamento da atividade, mas também, e principalmente, a obtenção de insights mais profundos sobre a prática dos serviços envolvendo a gestão da informação (CHOU E CHOU, 2009).