Outsourcing gir falsk trygghet

Utkontraktering (outsourcing) av hele eller deler av IT-driften er for svært mange virksomheter ofte en klok forretningsmessig beslutning. Stordriftsfordeler og tilgang til IT-kompetanse er bare noen forhold som trekker i den retning. Vi er imidlertid svært bekymret for at IT-sikkerheten forsvinner i prosessen med å utkontraktere. Altfor ofte ser vi virksomheter som er overrasket over at IT-sikkerheten ikke var dekket som forventet, og i mange tilfeller har virksomhetens viktigste IT-systemer og informasjonsverdier i realiteten vært eksponert for en langt høyere risiko enn hva som er akseptabelt.

Større grad av sikkerhet gir høyere pris, men paradokset er at driftsleverandøren vanskelig kan argumentere for at den billigste løsningen ikke er sikker nok

Det er særlig fire forhold som vi mener bidrar til å undergrave IT-sikkerheten og som vi opplever som «gjengangere»:

• Hverken virksomheten som skal utkontraktere eller driftsleverandøren har et bevisst forhold til virksomhetens viktigste IT-systemer eller informasjonsverdier. Når ingen har denne oversikten, skal det godt gjøres å innføre de rette sikkerhetsmekanismene. Og i en konkurransesituasjon, hvem vil ta kostnaden med å fremskaffe denne helt nødvendige oversikten?
• Driftsleverandørenes sikkerhetsstyring viser seg ofte å være svakt dokumentert og mangelfull. Når vi begynner å stille konkrete spørsmål om driftsleverandørens sikkerhetsstyring, blir driftsleverandørens representanter (som skal kunne gi svar) flakkende i blikket. Vi mener vi kan stille de rette spørsmålene, men vi tror dessverre ikke den gjennomsnittlige lederen av norske virksomheter vet hvilke spørsmål som skal stilles og hvordan eventuelle svar – eller flakkende blikk – skal tolkes.
• Virksomheten velger billigste løsning med utgangspunkt i holdningen om at «den er sikker nok – ellers ville den jo ikke kunne selges». Ledelsen vil normalt være opptatt av kostnaden ved utkontraktering og ofte skjer det i en form for konkurranse. Større grad av sikkerhet gir høyere pris, men paradokset er at driftsleverandøren vanskelig kan argumentere for at den billigste løsningen ikke er sikker nok. Virksomheten som skal utkontraktere ender derfor fort opp med den billigste løsningen uten at man har et bevisst forhold til om dette faktisk er godt nok.
• Driftsleverandørens medarbeidere er som nordmenn flest – naive og godtroende. Selv om de har god teknisk forståelse for hvordan tjeneste- og produktporteføljen kan bidra til økt sikkerhet, opplever vi også ofte blant disse at den faktiske forståelsen for trusselbildet ikke er god nok. I tillegg til den nevnte naiviteten har disse medarbeidere sjelden innsikt i hva som er kundens viktigste IT-systemer eller informasjonsverdier.

Les også

Dette er nye iPhone 14 Pro

Dersom virksomheten du har ansvar for har utkontraktert hele eller deler av IT-driften, vil vi anbefale deg å stille følgende tre kontrollspørsmål, både til deg selv og til driftsleverandøren din. Men husk uansett at det er virksomhetens ledelse som selv er ansvarlige for IT-sikkerheten:

• Har virksomheten og driftsleverandøren en felles forståelse for hvilke IT-systemer og hvilken informasjon som er kritisk for virksomheten?
• Er disse tilfredsstillende sikret gjennom organisatoriske, menneskelige og tekniske sikkerhetstiltak?
• Vet vi hvem som gjør hva dersom (når) vi blir utsatt for en hendelse, og klarer vi å gjenopprette normal drift innenfor akseptable tidsrammer (om disse i det hele tatt er definert), enten det er snakk om krypterte lagringsenheter og løsepengevirus, personopplysninger eller forretningshemmeligheter på avveie eller kritiske driftssystemer som er satt ut av spill?

Flere driftsleverandører har etablert solide styringssystemer for sikkerhet, er sertifisert samt leverer gode og sikre tjenester. Dessverre ser vi altfor ofte resultatet av det motsatte; virksomheter som lever med en falsk trygghet fordi de tror driftsleverandøren ivaretar alt.

Roger Ølstad

Leder for informasjonssikkerhetstjenester i Agenda Risk

Kristian Thaysen

Ledende partner i Agenda Risk