OUTSOURCING informační bezpečnosti

Spojení informační bezpečnosti s outsourcingem se může zdát jako trochu zavádějící. Pod termínem outsourcing se...


Spojení informační bezpečnosti s outsourcingem se může zdát jako trochu
zavádějící.

Pod termínem outsourcing se rozumí smluvní vztah mezi dodavatelem a odběratelem
za účelem přenesení odpovědnosti za určitou část provozu odběratele na
dodavatele. V reálném světě outsourcing využíváme prakticky na každém kroku
(poštovní služby, energie apod.). V oblasti informatiky se pak jedná o
přenesení části provozu (hardware, software, lidské či časové zdroje apod.) na
jiný subjekt.
Outsourcing je velice preferovanou a doporučovanou oblastí, nicméně není
všelékem (o tom ale až později). Nyní se pozastavme u jeho výhod.
Nezanedbatelnou výhodou jakéhokoliv outsourcingu obecně je, že zadavatel se
může plně soustředit na hlavní obor své činnosti a nemusí se věnovat aktivitám,
které zbytečně odčerpávají jeho energii. Outsourcingem dochází k uvolnění
vlastních zdrojů. V případě zkušeného dodavatele je též zaručena kvalita
služeb. Následuje zjednodušení manažerské práce a v návaznosti na to odpadá
nutnost každodenní kontroly. Kromě toho je outsourcing ideální v případě
nárazové výpomoci, kdy není nutné narychlo najímat a zaškolovat pracovní sílu.
Ostatně, vlastní zaměstnanci jsou často vnímáni jako velmi drahý zdroj kvůli
nutnosti pravidelného školení (které není pro zaměstnavatele ekonomicky
zajímavé), nutnosti sociálních výhod (placená dovolená apod.) a především se
obtížně mění jejich stavy (rychlé nabírání nebo redukce v případě potřeby).
Outsourcing také znamená přenesení odpovědnosti externí dodavatel má zpravidla
snahu být dobrý, protože nemá nic jisté (což se nedá říci třeba o interních
zaměstnancích). Jednoznačným argumentem číslo jedna je ale snaha o finanční
úsporu (čas, peníze aj.). Díky outsourcingu dochází ke snížení a zprůhlednění a
nárůstu efektivity.
Teď by se ale mohlo zdát, že využití outsourcingu je ideálním řešením vždy a
všude. To nicméně není pravda, protože ne všechno je tak růžové, jak by se na
první pohled mohlo zdát. Outsourcing má také svá "ale" nejsou to přímo
nevýhody, ale spíše určitá rizika. Sem patří třeba omezená možnost kontroly a
nemožnost ovlivňovat některé procesy.
V každém outsourcingu (nejen v případě IT bezpečnosti) je potřeba zajistit
manipulaci s citlivými informacemi. Jejich výměna je zkrátka nevyhnutelná, a
proto je potřeba dobře ošetřit práci s nimi technicky (šifrování apod.) i
právně (smlouvy aj.). Přesné vyčíslování vzniklých škod je totiž v případě
nějakého incidentu zpravidla obtížné (třeba při medializaci úniku citlivých
informací). Proto se nejčastěji používá zavedení vysokých smluvních pokut,
které jsou dostatečnou hrozbou pro případného viníka. Ostatně, možnost
jednoznačného určení viny je dalším důvodem nutnosti kvalitně zpracovat
outsourcingové smlouvy.
Rozhodnout se pro outsourcing v oblasti informační bezpečnosti je otázkou
zásadní a velmi dlouhodobou. Ne vždy je to samozřejmě výhodné, ale právě v tom
je tajemství úspěchu schopných dokázat najít onu tenkou linii, která není
přesně vytyčená a která pokaždé vede jinudy.

Argumenty pro a proti
V případě rozhodování ohledně outsourcingu IT bezpečnosti působí několik
protichůdných proudů. Ideální je samozřejmě zajišťovat si co nejvíce služeb
vlastními silami, a to zvláště v takto kritické oblasti. Všechno je nablízku,
pod kontrolou a relativně snadno ovlivnitelné. Máme možnost sledovat, jak věci
probíhají či kdy budou hotové. Ale to je jen jedna strana pohledu. Přestože se
věci mohou dít k maximální spokojenosti managementu, nemusejí být zcela v
pořádku třeba právě z hlediska bezpečnosti.
Navzdory určitým otazníkům začíná outsourcing v oblasti informační bezpečnosti
poslední dobou ve světě vítězit. Důvodů je několik. Na prvním místě je ovšem
zapotřebí zmínit fakt, že IT bezpečnost se stává nesmírně širokou oblastí, kde
je velmi obtížné sledovat aktuální trendy a zachovat si schopnost stoprocentně
na ně reagovat. Většina organizací už pochopila, že dělat bezpečnost "na
koleně" je drahé a málokdy účinné a že je lepší starost o elektronickou
bezpečnost přenechat kvalifikovaným profesionálům.
Zajímavé je, že outsourcing informační bezpečnosti je často označovaný jako
přežitek a na jeho místo začíná nastupovat služba Managed Security Services.
Jejím cílem je převzít každodenní rutinní starosti o zajištění bezpečného
provozu sítě, dále pak nárazové aktivity v době zvýšených nároků (epidemie
internetových červů, velké DoS útoky či další podobná rizika) a především
trvalé monitorování stavu bezpečnosti a jeho řízení. Služba provádí dohled nad
bezpečnostními prvky, jako jsou firewally, antivirové programy, VPN, systémy
detekce průniku uživatelské či síťové apod. Ale o tom zase až někdy příště.


Jasná pravidla pro outsourcing
Outsourcing samozřejmě není možné provádět způsobem "nainstaluj a zapomeň", je
potřeba postupovat systematicky. Zpravidla se jedná o tyto kroky:
nĘAnalyzovat stávající stav informačního systému a jeho bezpečnosti.
Kvantifikovat citlivá data, nalézt slabá místa. Cílem přitom není překopat celý
systém k obrazu svému, ale naopak implementovat bezpečnost s co nejmenšími
dopady na stávající chod či uživatele.
Návrh koncepce řešení, která vychází z výše uvedeného popisu. Na ni navazuje
zpracování dokumentace a její doladění se zákazníkem (co průchodné je, co není
žádoucí apod.).
Po vyjasnění projektu následuje jeho realizace a zavedení do praxe (software,
hardware, jednotlivá nastavení, postupy, politika...).
Následuje dlouhodobá fáze údržby a rozšiřování služeb spojená s odborným
poradenstvím (protože bezpečnost není oblastí statickou).
Na co si dát při outsourcingu IT bezpečnosti pozorBudujte s dodavatelem
dlouhodobě korektní vztahy. Uvědomte si, že změna dodavatele není v oblasti IT
bezpečnosti vůbec jednoduchá a že může být technicky i organizačně velmi
náročná, s dlouhodobými dopady na chod instituce.
Pozor na závislost na dodavateli většina dodavatelů outsourcingu se snaží, aby
u nich zákazník zůstal co nejdéle. To nedělají pouze korektními metodami (dobré
ceny, rychlost a kvalita služeb apod.), ale třeba i tím, že se snaží získat
punc nepostradatelnosti (třeba neprůhledností svých služeb). Požadujte kvalitní
a úplné informace, máte na ně plné právo. Vždyť jde o ochranu vašich dat a
zdrojů. Dodavatel ohánějící se neveřejným know-how, obchodními tajemstvími
apod. není důvěryhodný už z principu, neboť svěřujete svá data nějakým neznámým
procesům a postupům.
Nebojte se svého dodavatele outsourcingu IT bezpečnosti kontrolovat. Smlouvy a
garance jsou jedna věc, praktické plnění věc druhá. Je-li všechno v pořádku,
pak se samozřejmě dodavatel kontrolám bránit nebude. Nepříjemné jsou jen v
případě, kdy by mohly odhalit nedostatky.
Celý proces musí být plně transparentní, je nutné přesně vědět, co se s
jakýmikoliv elektronickými daty (databáze, nastavení softwaru apod.) děje ve
kterém okamžiku. Kdo s nimi manipuloval, kdo měl jaká práva, kolik lidí má k
informacím přístup, jak je zajištěna jejich bezpečnost apod. Je
nepravděpodobné, že budete mít stálou kontrolu nad vším (to by ostatně popíralo
samotný outsourcing IT bezpečnosti), ale je nutné, abyste v každém okamžiku
věděli, kdo (a zdali) tuto kontrolu má.
Je nutné jasně definovat pravomoci a především odpovědnost v jednotlivých
fázích nakládání s daty nebo spolupráce. Je třeba eliminovat slabá místa, kdy
není zřejmé, kdo má právě data a zodpovědnost za ně v kompetenci.
Dejte pozor na to, ke kterým datům požaduje dodavatel přístup. Jeho úkolem je
primárně se o data starat, nikoliv je mít k dispozici jako na zlatém podnose.
Požadování přístupu k většímu než nezbytně nutnému množství informací svědčí
minimálně o neprofesionalitě.
Neváhejte si dodavatele prověřit. Využití outsourcingu IT bezpečnosti je velmi
zásadním rozhodnutím, takže se podle toho chovejte. Ověřte si, zda je pravdou
to, co dodavatel tvrdí pokud je to pravda, mělo by jít o doložitelné
skutečnosti (varovným prstem budiž třeba tvrzení: "Za poslední léta jsme neměli
ani jeden bezpečnostní problém, ale seznam klientů vám samozřejmě nemůžeme z
důvody ochrany firemního know-how předložit.").

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.