Teknologiutviklingen og digitaliseringen går i et forrykende tempo, og for å holde tritt velger stadig flere virksomheter å outsource (tjenesteutsette) hele eller deler av sin IKT-portefølje til eksterne leverandører.
Tjenesteutsetting av IT-tjenester er for mange bedrifter en effektiv måte å profesjonalisere tjenester på. Det kan dessuten gi lavere og forutsigbare kostnader, og det kan bidra til at man har bedre fokus på kjernevirksomheten.
Outsourcing av IT bidrar imidlertid også til økt sårbarhet og risiko – og det har vist seg at risikovurderingene og konsekvensutredningene ofte er for dårlige. Settes virksomhetskritiske tjenester ut til en tredjepart, kan det øke risikoen for både tilsiktede og utilsiktede hendelser, som for eksempel bortfall av tjeneste eller tap/endring av data.
Nasjonal sikkerhetsmyndighet har utarbeidet en temarapport, Sikkerhetsfaglige anbefalinger ved tjenesteutsetting, som skal bistå offentlige og private virksomheter med sikkerhetsfaglige anbefalinger om hva de bør ivareta når de outsourcer basisdrift, applikasjonsdrift eller applikasjonsforvaltning.
For å ivareta informasjonssikkerheten når bedriften setter ut IT-tjenester til underleverandører, må det gjøres et godt grunnarbeid. Er virksomheten «rigget» for å håndtere alle faser i en tjenesteutsettingsprosess? Hvilke lover, krav og regler gjelder, både nasjonalt og internasjonalt?
I temarapporten gir NSM fem sikkerhetsfaglige anbefalinger.
Bedriften må, gjennom kontrakten med tjenesteleverandøren, sørge for å ha oversikt og kontroll over tjenesteutsettingens livsløp, fra begynnelse til slutt.
Livsløpet omfatter fire hovedfaser (forberedende, anskaffelse, forvaltning og opphør), og hver fase har egne behov og krav som må følges opp. Hva skjer for eksempel med dine data når tjenesteutsettingen opphører? Blir de forsvarlig slettet av leverandøren?
God bestillerkompetanse er en forutsetning for vellykket tjenesteutsetting. Hva må du sørge for å ivareta gjennom tjenesteutsettingens livsløp, fra forberedende aktiviteter til opphør av avtalen?
Har dere dårlig bestillerkompetanse, kan det føre til at dere kjøper IT-tjenester uten at dere har fått kartlagt egne behov godt nok.
Virksomheter baserer ofte sin beslutning om tjenesteutsetting på en vurdering av hvilken økonomisk risiko det medfører, ut fra et ensidig fokus på kostnader. NSM anbefaler imidlertid at risikovurderinger omfatter alle faser av tjenesteutsettingene. Videre må dere jevnlig revidere risikoen knyttet til tjenesteutsettingen, siden risikobildet endres over tid.
Les også: Disse IT-sikkerhetsområdene bør du ha kontroll på i 2019
Å stille riktige og gode krav til IT-tjenesten og til tjenesteleverandøren dere inngår kontrakt med, er helt avgjørende for å ivareta sikkerheten. For å stille gode krav må du kjenne din egen virksomhet og vite hvilke behov du har. Behovene må uttrykkes som krav, som igjen må kunne måles og verifiseres.
Med andre ord må dere utarbeide en detaljert kravspesifikasjon for IT-tjenesten som skal tjenesteutsettes, basert på virksomhetens behov og gjeldende lover og regler.
Tjenesteutsetting og valg av leverandørmodell er en viktig strategisk beslutning og bør ikke tas av kun IT-avdelingen. Beslutningen må tas av bedriftens toppledelse, det vil si styret – som er ansvarlig for informasjonssikkerheten i bedriften. Den nye sikkerhetsloven som trådte i kraft 1. januar i år, utvider styrets ansvar for hvilke beslutninger som tas, og konsekvensene av disse.