It-outsourcing kan være en meget positiv oplevelse.
Du kan outsource din it-drift til nogen som har mere erfaring og ekspertise og kan gøre det mere omkostningseffektivt.
Men for at et outsourcing projekt skal lykkes, er du nødt til at have en ordentlig risikostyringsproces. En af de bedre metoder du kan bruge, for at undgå unødige risici, er information security risk management standarden ISO 27005.
Hvis din metode er på plads og en sikkerhedsstrategi er udførligt planlagt og kommunikeret ud til både din organisation og din outsourcing leverandør så har du intet at frygte. Men når det ikke er gjort ordentligt, kan det have en negativ indvirkning på din organisation.
En Trustwave Global Security rapport fra 2013 havde mindre positive nyheder om outsourcing. Rapportens bagmænd konkluderede at ud af 450 globale data sikkerhedsbrist undersøgelser var 63 procent af dem forbundet til en outsourcing leverandør.
Leverandøren ansvarlig for it-system support, udvikling og vedligeholdelse havde negliceret eller introduceret sikkerhedsmangler der nemt kunne udnyttes.
Resultaterne er slående ens med tallene fra en rapport i 2009, bestilt af VanDyke Software og udført af Amplitude Research. De konkluderede at 61 procent af deres 350 respondenter, hvis organisation havde outsourcet it-stillinger, havde oplevet uautoriserede indtrængen mellem 2007 og 2009.
Til sammenligning havde kun 35 procent af firmaerne, der ikke outsourcede, haft problemer med uautoriseret indtrængen.
Ingen bekymringer; træf passende foranstaltninger
Lad ikke de tal skræmme dig. Der er mange professionelle outsourcing leverandører derude.
Mange af de problemer rapporterne fremhæver er forårsaget af fejlkommunikation mellem organisationer og deres leverandører. Skylden kan derfor ikke placeres alene hos leverandøren men bør deles ligeligt af begge parter.
Når it-outsourcing bliver gjort ordentligt er det yderst gavnligt for både dig og din leverandør. Eneste det kræver, er at du træffer de passende foranstaltninger for at sikre en sikker og udbytterig outsourcing oplevelse.
Hvor skal man starte?
En grundig risikovurdering kan vaccinere dig mod en dårlig outsourcing beslutning.
Først skal du overveje hvad det er du vil outsource. Derefter skal du se på hvad de potentielle risici for din virksomhed er hvis noget går galt og hvorvidt outsourcing gør dig mere sårbar.
Jo flere risici, jo mere skal du undersøge din potentielle leverandør. Vores compliance værktøj kan hjælpe dig med processen, bl.a. ved at levere en liste af spørgsmål du kan forevise din kommende leverandør.
En anerkendt sikkerheds standard, f.eks. ISO 27001, er en god indikator for at leverandøren tager sikkerhed seriøst men det er aldrig en garanti.
Du bør også tjekke hvem der har stået bag akkrediteringen da der findes nogen "fast-track certificeringer". Du bør også tjekke hvilke dele af virksomheden certifikatet dækker.
Som det næste skal du undersøge om de "gør hvad de siger" for hvis de ikke gør, er det dit firma som ender på forsiden af Ekstrabladet.
Skab et stærkt forhold
Processen er ikke bare et spørgsmål om at inspicere deres firma en eller to gange. Det er en process der kan tage flere uger eller måneder. Du tiltror dem at håndtere risiko på dine vegne. Du er nødt til at være sikker på at de er gearet til udfordringen, og at i forstår hinanden.
At skabe en gensidig forståelse og et stærkt forhold kan tage tid og kræver en større indsats fra begge sider. Det er vigtigt at begge parter tager sig tiden til at få afdækket præcist hvordan dette partnerskab skal foregå.
På den måde kan du minimere misforståelser og potentielle sikkerhedsproblemer. Tag den nødvendige tid, og du er godt på vej til en positiv og udbytterig outsourcing oplevelse.