Skip to main content

    Teknologiutviklingen og digitaliseringen går i et forrykende tempo, og for å holde tritt velger stadig flere virksomheter å outsource (tjenesteutsette) hele eller deler av sin IKT-portefølje til eksterne leverandører.

    Tjenesteutsetting av IT-tjenester er for mange bedrifter en effektiv måte å profesjonalisere tjenester på. Det kan dessuten gi lavere og forutsigbare kostnader, og det kan bidra til at man har bedre fokus på kjernevirksomheten.

    Outsourcing av IT bidrar imidlertid også til økt sårbarhet og risiko – og det har vist seg at risikovurderingene og konsekvensutredningene ofte er for dårlige. Settes virksomhetskritiske tjenester ut til en tredjepart, kan det øke risikoen for både tilsiktede og utilsiktede hendelser, som for eksempel bortfall av tjeneste eller tap/endring av data.

    Nasjonal sikkerhetsmyndighet har utarbeidet en temarapport, Sikkerhetsfaglige anbefalinger ved tjenesteutsetting, som skal bistå offentlige og private virksomheter med sikkerhetsfaglige anbefalinger om hva de bør ivareta når de outsourcer basisdrift, applikasjonsdrift eller applikasjonsforvaltning.

     

    NSMs fem sikkerhetsanbefalinger

    For å ivareta informasjonssikkerheten når bedriften setter ut IT-tjenester til underleverandører, må det gjøres et godt grunnarbeid. Er virksomheten «rigget» for å håndtere alle faser i en tjenesteutsettingsprosess? Hvilke lover, krav og regler gjelder, både nasjonalt og internasjonalt?

    I temarapporten gir NSM fem sikkerhetsfaglige anbefalinger.

    1. Oversikt og kontroll på hele livsløpet

    Bedriften må, gjennom kontrakten med tjenesteleverandøren, sørge for å ha oversikt og kontroll over tjenesteutsettingens livsløp, fra begynnelse til slutt.

    Livsløpet omfatter fire hovedfaser (forberedende, anskaffelse, forvaltning og opphør), og hver fase har egne behov og krav som må følges opp. Hva skjer for eksempel med dine data når tjenesteutsettingen opphører? Blir de forsvarlig slettet av leverandøren?

    2. God bestillerkompetanse

    God bestillerkompetanse er en forutsetning for vellykket tjenesteutsetting. Hva må du sørge for å ivareta gjennom tjenesteutsettingens livsløp, fra forberedende aktiviteter til opphør av avtalen?

    Har dere dårlig bestillerkompetanse, kan det føre til at dere kjøper IT-tjenester uten at dere har fått kartlagt egne behov godt nok.

    • Hvilke krav må dere å stille til IT-sikkerhet?
    • Hvordan kan tjenestene integreres i bedriften på best mulig måte?
    • Gjennomføres tjenesteutsettingen på en måte som støtter bedriftens forretningsmessige og funksjonelle behov?
    • Blir bedriftens juridiske krav og behov ivaretatt?

    3. Gode risikovurderinger for å kunne ta riktig beslutning

    Virksomheter baserer ofte sin beslutning om tjenesteutsetting på en vurdering av hvilken økonomisk risiko det medfører, ut fra et ensidig fokus på kostnader. NSM anbefaler imidlertid at risikovurderinger omfatter alle faser av tjenesteutsettingene. Videre må dere jevnlig revidere risikoen knyttet til tjenesteutsettingen, siden risikobildet endres over tid.

    Les også: Disse IT-sikkerhetsområdene bør du ha kontroll på i 2019

    4. Riktige og gode krav til IKT-tjenesten og til leverandør

    Å stille riktige og gode krav til IT-tjenesten og til tjenesteleverandøren dere inngår kontrakt med, er helt avgjørende for å ivareta sikkerheten. For å stille gode krav må du kjenne din egen virksomhet og vite hvilke behov du har. Behovene må uttrykkes som krav, som igjen må kunne måles og verifiseres.

    Med andre ord må dere utarbeide en detaljert kravspesifikasjon for IT-tjenesten som skal tjenesteutsettes, basert på virksomhetens behov og gjeldende lover og regler.

    5. Riktig beslutning på riktig nivå

    Tjenesteutsetting og valg av leverandørmodell er en viktig strategisk beslutning og bør ikke tas av kun IT-avdelingen. Beslutningen må tas av bedriftens toppledelse, det vil si styret – som er ansvarlig for informasjonssikkerheten i bedriften. Den nye sikkerhetsloven som trådte i kraft 1. januar i år, utvider styrets ansvar for hvilke beslutninger som tas, og konsekvensene av disse.

     

     

    Oslo

    Drammensveien 288

    0283 Oslo

     

    Bergen

    Sandviksbodene 1

    5035 Bergen

    Stavanger

    Kanalsletta 4

    4033 Stavanger

    Grimstad

    Bark Silas vei 5

    4876 Grimstad

    Kristiansand

    Dronningens gt 12

    4610 Kristiansand

    Stockholm

    Kammakargatan 22

    111 40 Stockholm