Outsourcing i bezpieczeństwo
- 06.11.2007
Swój człowiekto ważny atut
Najpoważniejszą, wymagającą zastanowienia się decyzją jest outsourcing wszystkich usług informatycznych. Ma on swoje zalety, ale bardzo uważnie trzeba rozważyć wszelkie argumenty za i przeciw. W praktyce wszelkie działania związane z administracją serwerami, usługami lub aplikacjami można przekazać na zewnątrz. Reset hasła, parametrów dostępu, tworzenie i zmiana kont, audyt działań pracowników w systemie - to funkcje, które także może wykonać niezależna firma. Nawet kompleksowa usługa polegająca na wynajęciu całej infrastruktury teleinformatycznej w niektórych wypadkach ma sens i dobre uzasadnienie ekonomiczne. Problem jest jednak w tym, że trzeba to zrobić dobrze.
Dlatego warto zrobić jedno ważne założenie - osoba odpowiedzialna za bezpieczeństwo musi być pracownikiem przedsiębiorstwa. Bo wówczas z reguły dobrze zna ona firmę oraz jej organizację i dzięki temu może łatwiej przeanalizować i uwzględnić wszystkie potencjalne problemy. A zewnętrzny usługodawca najczęściej nie może tego zrobić, gdyż dysponuje ograniczoną wiedzą.
Zewnętrzny pracownik nie będzie miał szansy przygotowania firmy do pracy w bardzo trudnych warunkach, np. w stanie kryzysowym. Przykładem może być utrata głównego biura z powodu pożaru, katastrofy żywiołowej lub budowlanej. Osoba pracująca w firmie na co dzień będzie miała pozasłużbową wiedzę na temat tego jak zachowują się i co potrafią jej koleżanki i koledzy. Łatwiej będzie jej znaleźć dobrych liderów grup, którzy pomogą w szybkim uruchomieniu choćby minimalnych zasobów systemu IT. Oprócz tego dobry oficer bezpieczeństwa posiada (w głowie lub odpowiednim dokumencie) plan działania na wypadek bardzo poważnych zdarzeń. Organizacji i zasad szybkiego podejmowania decyzji można się nauczyć, ale wiedza na temat potencjału konkretnych pracowników firmy bywa bezcenna i może zasadniczo ułatwić podejmowanie optymalnych decyzji.
Ponadto nikt nie może być sędzią we własnej sprawie - wykonawca usługi będzie robił wszystko, by podawane przez niego wyniki pracy systemu wyglądały na poprawne. Posiadanie organu kontrolnego w postaci własnego oficera bezpieczeństwa może być więc poważnym atutem. Można oddać usługę administrowania serwerami, aplikacjami lub zaporami, ale najważniejsze sprawy związane z procedurami bezpieczeństwa powinny pozostać w firmie. Zwłaszcza że procedury, strategie, wymogi lub szacowanie ryzyka wymagają najwyższego poziomu uprzywilejowania.
Warto także zwrócić uwagę, że firmy obsługujące inne przedsiębiorstwa tak kalkulują swoje zasoby, by zapewnić obsługę z pewną, ale tylko nieznaczną rezerwą. Ponieważ zazwyczaj obsługują wiele przedsiębiorstw, gdy wydarzy się poważna klęska żywiołowa taka jak powódź, dotyka ona jednocześnie wiele przedsiębiorstw i obciążenie, a więc jakość usług świadczonych przez firmę zewnętrzną, nawet najlepiej przygotowaną na taki wypadek, może ulec gwałtownemu pogorszeniu.
W tym wypadku własny system i pracownicy firmy obsługujący tylko swoje przedsiębiorstwo będą znacznie sprawniejsi, bowiem istniejące rezerwy zostaną w całości przeznaczone na jedno zadanie - utrzymanie aplikacji w ruchu i zapewnienie jak najmniejszych strat.
Najważniejsze obowiązki związane z zapewnieniem bezpieczeństwa oraz ciągłości pracy w firmie powinny być powierzone wewnętrznym pracownikom przedsiębiorstwa, takim jak:
- oficer bezpieczeństwa;
- przynajmniej jeden administrator z wiedzą wystarczającą do podstawowej obsługi najistotniejszych systemów w przypadku warunków kryzysowych;
- jeden technik, który zapewni minimalną konieczną obsługę podstawowej infrastruktury (może on pełnić również inne obowiązki w firmie).