Outsourcing i bezpieczeństwo

Firmy coraz częściej korzystają z usług innych, zewnętrznych podmiotów, gdyż outsourcing ma wiele trudnych do zakwestionowania zalet. Należy jednak pamiętać o potencjalnych zagrożeniach, które kryją się za takim modelem organizacji pracy.

Swój człowiekto ważny atut

Najpoważniejszą, wymagającą zastanowienia się decyzją jest outsourcing wszystkich usług informatycznych. Ma on swoje zalety, ale bardzo uważnie trzeba rozważyć wszelkie argumenty za i przeciw. W praktyce wszelkie działania związane z administracją serwerami, usługami lub aplikacjami można przekazać na zewnątrz. Reset hasła, parametrów dostępu, tworzenie i zmiana kont, audyt działań pracowników w systemie - to funkcje, które także może wykonać niezależna firma. Nawet kompleksowa usługa polegająca na wynajęciu całej infrastruktury teleinformatycznej w niektórych wypadkach ma sens i dobre uzasadnienie ekonomiczne. Problem jest jednak w tym, że trzeba to zrobić dobrze.

Dlatego warto zrobić jedno ważne założenie - osoba odpowiedzialna za bezpieczeństwo musi być pracownikiem przedsiębiorstwa. Bo wówczas z reguły dobrze zna ona firmę oraz jej organizację i dzięki temu może łatwiej przeanalizować i uwzględnić wszystkie potencjalne problemy. A zewnętrzny usługodawca najczęściej nie może tego zrobić, gdyż dysponuje ograniczoną wiedzą.

Zewnętrzny pracownik nie będzie miał szansy przygotowania firmy do pracy w bardzo trudnych warunkach, np. w stanie kryzysowym. Przykładem może być utrata głównego biura z powodu pożaru, katastrofy żywiołowej lub budowlanej. Osoba pracująca w firmie na co dzień będzie miała pozasłużbową wiedzę na temat tego jak zachowują się i co potrafią jej koleżanki i koledzy. Łatwiej będzie jej znaleźć dobrych liderów grup, którzy pomogą w szybkim uruchomieniu choćby minimalnych zasobów systemu IT. Oprócz tego dobry oficer bezpieczeństwa posiada (w głowie lub odpowiednim dokumencie) plan działania na wypadek bardzo poważnych zdarzeń. Organizacji i zasad szybkiego podejmowania decyzji można się nauczyć, ale wiedza na temat potencjału konkretnych pracowników firmy bywa bezcenna i może zasadniczo ułatwić podejmowanie optymalnych decyzji.

Ponadto nikt nie może być sędzią we własnej sprawie - wykonawca usługi będzie robił wszystko, by podawane przez niego wyniki pracy systemu wyglądały na poprawne. Posiadanie organu kontrolnego w postaci własnego oficera bezpieczeństwa może być więc poważnym atutem. Można oddać usługę administrowania serwerami, aplikacjami lub zaporami, ale najważniejsze sprawy związane z procedurami bezpieczeństwa powinny pozostać w firmie. Zwłaszcza że procedury, strategie, wymogi lub szacowanie ryzyka wymagają najwyższego poziomu uprzywilejowania.

Warto także zwrócić uwagę, że firmy obsługujące inne przedsiębiorstwa tak kalkulują swoje zasoby, by zapewnić obsługę z pewną, ale tylko nieznaczną rezerwą. Ponieważ zazwyczaj obsługują wiele przedsiębiorstw, gdy wydarzy się poważna klęska żywiołowa taka jak powódź, dotyka ona jednocześnie wiele przedsiębiorstw i obciążenie, a więc jakość usług świadczonych przez firmę zewnętrzną, nawet najlepiej przygotowaną na taki wypadek, może ulec gwałtownemu pogorszeniu.

W tym wypadku własny system i pracownicy firmy obsługujący tylko swoje przedsiębiorstwo będą znacznie sprawniejsi, bowiem istniejące rezerwy zostaną w całości przeznaczone na jedno zadanie - utrzymanie aplikacji w ruchu i zapewnienie jak najmniejszych strat.