Niejedna firma chciałaby pozbyć się szeroko rozumianego zarządzania bezpieczeństwem, ponieważ nie jest to jej podstawowa działalność. Recept uniwersalnych niestety nie ma.

Coraz większe koszty utrzymania bezpieczeństwa w firmie, obecne skomplikowanie systemów teleinformatycznych oraz widmo jeszcze trudniejszych do ogarnięcia zadań skłania wielu decydentów do rozważania propozycji outsourcingowych. Na pozór wszystko wygląda w różowych kolorach - mniejsze koszty, możliwość wynajęcia trudnych do znalezienia i utrzymania specjalistów, dobrze przygotowane umowy i tak dalej. Niemniej należy pomyśleć także o tym, czego na zewnątrz być może nie należy oddawać.

Sieci i urządzenia

Większość ludzi podejmujących decyzje finansowe nie jest świadoma prostego faktu, że bezpieczeństwo informacji w firmie nie jest tożsame z bezpieczeństwem teleinformatycznym. Nawet najlepiej chroniona infrastruktura nie zapewni dobrego bezpieczeństwa informacji w jej wielu formach. Podejście całościowe jest tu, jak rzadko, koniecznością, co jednak koliduje z faktem, że outsourcing tworzy swego rodzaju wyrwę w tradycyjnych koncepcjach zabezpieczania informacji.

Koncepcja bezpieczeństwa w firmie, która oddaje tak ważny obszar (lub tylko jego część) w outsourcing, musi być bardzo dobrze przemyślana. Przede wszystkim trzeba dokładnie ustalić, co ma być zabezpieczane przez firmę zewnętrzną, np. jasno określona warstwa infrastruktury (systemy zabezpieczeń, warstwa sieciowa itp.), wydzielone systemy aplikacyjne, czy też może zarządzanie incydentami albo ochrona przed szpiegostwem przemysłowym.

Najprostsze, najmniej ryzykowne i z całą pewnością opłacalne jest oddanie zarządzania infrastrukturą sieciową operatorom telekomunikacyjnym. Operatorzy potrafią zapewnić odpowiednie środki techniczne i ludzi z właściwym doświadczeniem oraz odpowiedni poziom obsługi. Umowa serwisowa może znacząco zmniejszyć koszty korzystania z infrastruktury, ponieważ jej surowe zapisy będą gwarantem działań prewencyjnych, wzrośnie rzeczywisty poziom bezpieczeństwa, spadną też koszty bieżącego zarządzania wynikające z utrzymania i szkolenia specjalistów.

Operator z natury będzie posiadał informacje, których nie ma pojedyncza firma - gdy będzie otrzymywał sygnały np. o atakach nowych wirusów, będzie mógł podjąć działania zapobiegawcze we wszystkich obsługiwanych firmach, takie jak masowe blokowanie na routerze pewnych usług na czas ataku, aby minimalizować szkody dla firmy oddającej ten obszar w zarządzanie.

Można oddać na zewnątrz nie tyle zarządzanie siecią, ile systemami zabezpieczeń (konfiguracja, dostępność, aktualizacja itp.) i reagowanie na incydenty. Takie usługi z powodzeniem można zlecać nawet firmie z innego miasta - wszystko jest kwestią niezawodności łącza. Są firmy, które wykorzystują wydzielone łącze tylko do tego celu.

Dzięki outsourcingowi można uzyskać tutaj większy poziom bezpieczeństwa, gdyż nie każdy ma dostęp lub środki do tego, by wynająć wysokiej klasy specjalistę. Działania firmy zarządzającej systemami zabezpieczeń można poddawać audytowi, co powinno jednak być jasno zapisane w umowie, włącznie z określeniem procedur, komunikacji itp.

Aplikacje i bazy danych

Każda średnia i duża firma posiada co najmniej jedną bazę danych na potrzeby aplikacji biznesowych. Dzisiejsze bazy danych są znacznie łatwiejsze w obsłudze od ich poprzedników, ale mnogość pełnionych funkcji sprawia, że utrzymanie jej w stanie maksymalnej wydajności, odpowiedniego poziomu bezpieczeństwa oraz zapewnienie innych konserwacji i aktualizacji nie jest wcale prostym zadaniem. Papiery marketingowe to jedno, a praktyka administratorów to drugie - rzadko kiedy idą w parze.

Szczególnie dotyczy to baz wykorzystywanych przy poważnych aplikacjach ERP/CRM, których zawiłości biznesowej trudno dociec osobie znającej się na bezpieczeństwie systemów i sieci. Outsourcing bezpieczeństwa tej warstwy jest znacznie trudniejszy - aby informacje w bazie rzeczywiście były chronione, specjalista musi koniecznie mieć wsparcie ze strony ekspertów aplikacyjnych znających rzeczywistą wartość biznesową informacji.

Ponieważ rodzi to pytanie o odpowiedzialność, być może lepiej nie oddawać tej warstwy w outsourcing. Z tego powodu mogą regularnie powstawać kłopoty, np. gdy okaże się, że po aktualizacji występują błędy, gdyż aplikacja nie jest przystosowana do pracy z nowszą wersją bazy (lub do pracy po instalacji konkretnej poprawki). Administrator, który ma doświadczenie w obsłudze bazy związanej z aplikacją, na pewno będzie to wiedział, ale czy firma zewnętrzna zatrudnia takiego administratora? Jeśli już, najlepiej oddać na zewnątrz zarządzanie całym środowiskiem aplikacyjnym - łącznie z odpowiedzialnością za bezpieczeństwo całego środowiska.

Pozbyć się bezpieczeństwa

Kuszącą perspektywą jest oddanie w outsourcing całości zagadnień związanych z bezpieczeństwem. Teoretycznie wiadomo co trzeba zrobić, by zabezpieczyć sieci i systemy, ale w praktyce jest to dość ryzykowne. Przede wszystkim jest to udostępnienie firmie trzeciej dostępu do wszystkich firmowych informacji przetwarzanych elektronicznie. Można próbować oddać kilka starannie wydzielonych obszarów kilku firmom, ale czyż nie jest to jeszcze większe ryzyko? Poza tym nie ma pewności, że nadzór nad firmą/firmami kiedykolwiek będzie "dostatecznie kompetentny".

Ale nawet bez uwzględnienia tych okoliczności outsourcing zarządzania bezpieczeństwem jest zadaniem trudnym do przeprowadzenia w praktyce. Bezpieczeństwo to obszar wewnętrzny firmy - trzeba w niej być, czuć atmosferę, znać ludzi i kojarzyć to wszystko. Firma zewnętrzna, wyposażona nawet w najlepsze narzędzia, nie ma takiego komfortu jak obecny w firmie "podejrzliwy" administrator. Nie ma na tyle czasu ani środków, by je kiedykolwiek dobrze poznać. Tymczasem gros naprawdę poważnych naruszeń bezpieczeństwa odbywa się przy współudziale pracowników (lub byłych pracowników) firmy, a więc na znajomości sposobów jej działania.

Pracownicy, często nawet podświadomie, inaczej traktują kogoś z zewnątrz niż kolegę czy koleżankę z tej samej firmy. I co szczególnie ciekawe - mają rację. Nawet jeśli wykonawca usług związanych z bezpieczeństwem jest obdarzony najwyższym zaufaniem zarządu (co się czasami zdarza), nigdy nie uda mu się osiągnąć tego samego w stosunku do pracowników. W ten sposób można uzyskać co najwyżej najlepszy możliwy stopień zabezpieczenia infrastruktury teleinformatycznej, ale to zdecydowanie za mało. Ludzie inaczej reagują, gdy szczególnie ważne sprawy przedstawia im ich kolega z pracy. Zewnętrzna firma jest traktowana często po trosze jak nudne szkolenie, które trzeba "odbębnić", bo przecież i tak nic z tego nie będzie.

Zatem należy przyjąć co najmniej jedno założenie - główny specjalista ds. bezpieczeństwa musi być pracownikiem firmy. Tylko on będzie spełniał jednocześnie dwa warunki dobrego pełnienia obowiązków - będzie mieć wiedzę na temat rzeczywistego funkcjonowania przedsiębiorstwa, a jednocześnie możliwość jej wykorzystania. Można argumentować, że wszystko da się spisać, przygotować w formie wytycznych dla zewnętrznej firmy, której pracownik zapozna się samodzielnie z działaniem przedsiębiorstwa. Problem w tym, że w wielu firmach zarząd, a często nawet kierownicy, nie wiedzą, co robią i czym kierują się ich pracownicy, jak naprawdę wygląda obieg informacji itd.

Kryzys zmienia wszystko

Największe wady outsourcingu szeroko pojętego bezpieczeństwa ujawnią się w stanie kryzysowym. Zewnętrzny pracownik nie będzie miał szansy przygotowania firmy do pracy w trudnych warunkach, np. w wypadku utraty głównego biura z powodu pożaru lub katastrofy powodującej istotne zmiany w funkcjonowaniu przedsiębiorstwa. Pracownikowi obecnemu na miejscu przyjdzie to łatwiej, ponieważ jego wiedza o ludziach i ich możliwościach będzie wynikać z bezpośredniej obserwacji i znajomości nie tylko służbowych.

Specjalista będący pracownikiem firmy szybko znajdzie zastępstwo dla brakującego pracownika, szybciej na nowo zorganizuje pracę w szczególnie ważnych działach. Łatwo będzie mógł znaleźć dobrych liderów grup, którym pomoże w zebraniu choćby minimum zasobów. Do wielu z tych rzeczy jest już przygotowany. Zdolności organizacyjnych do zarządzania wznawianiem działalności firmy w takich sytuacjach można się nauczyć, ale wiedza na temat potencjału koleżanek i kolegów z pracy jest bezcenna.

Przedsiębiorstwa obsługujące różne firmy posiadają utarte schematy działania, które w warunkach kryzysowych mogą okazać się nieskuteczne. Firma usługowa nie zawsze wie, jak interpretować umowę w warunkach kryzysowych i będzie oczekiwać jasnych instrukcji ze strony klienta. Pracownik natomiast z reguły wie co ma robić i z pewnością nie będzie długo zastanawiać się "czy to się na pewno opłaca". Nie będzie przy tym uciekać od rozwiązań nieszablonowych, nawet jeśli nie są w pełni profesjonalne. Firma zewnętrzna zawsze będzie przywiązywać większą wagę do "pełnego profesjonalizmu", gdy tymczasem w warunkach kryzysowych liczą się szybkość działania i rozsądek.

Uważnie i bez pośpiechu

Z przedstawionych rozważań wynika, że outsourcing bezpieczeństwa nie jest czymś, czego należy za wszelką cenę unikać. Outsourcing w dziedzinach wąsko określonych, łatwych do zaudytowania może mieć sens nie tylko finansowy, ale także podnieść poziom bezpieczeństwa. Negocjując zakres kontraktów i warunki szczegółowe, trzeba jednak mieć świadomość, że oddanie pewnych obszarów oznacza w praktyce brak kontroli i podwyższone ryzyko.

Wydaje się, że najważniejsze obowiązki związane z bezpieczeństwem oraz ciągłością pracy w firmie muszą być pełnione przez pracowników firmy. Specjalista ds. bezpieczeństwa, przynajmniej jeden administrator z wiedzą wystarczającą do podstawowej obsługi najistotniejszych systemów w przypadku warunków kryzysowych, jeden technik, który zapewni obsługę podstawowej infrastruktury (choć na co dzień pełni w firmie inne obowiązki) - to minimum. Taka trójka zapewni z powodzeniem podstawową funkcjonalność rozwiązań informatycznych w przypadku poważnych zdarzeń losowych, zaś dzięki temu, że są pracownikami firmy, są gotowi do działania "od zaraz".

Firmy obsługujące inne przedsiębiorstwa tak kalkulują swoje zasoby, by zapewnić obsługę z niewielką rezerwą. Zazwyczaj obsługują też więcej niż jedno przedsiębiorstwo. Gdy zdarza się poważna klęska żywiołowa, taka jak powódź, firmy te będą mocno przeciążone, gdyż klęska ta zazwyczaj obejmuje więcej niż jedną firmę. Warto o tym pamiętać, rozważając usługi outsourcingowe, gdyż pomijanie takich zadań jak bezpieczeństwo firmy jako całości może być bardziej kosztowne niż zyski finansowe osiągane z outsourcingu.