Swój człowiekto ważny atut

Najpoważniejszą, wymagającą zastanowienia się decyzją jest outsourcing wszystkich usług informatycznych. Ma on swoje zalety, ale bardzo uważnie trzeba rozważyć wszelkie argumenty za i przeciw. W praktyce wszelkie działania związane z administracją serwerami, usługami lub aplikacjami można przekazać na zewnątrz. Reset hasła, parametrów dostępu, tworzenie i zmiana kont, audyt działań pracowników w systemie - to funkcje, które także może wykonać niezależna firma. Nawet kompleksowa usługa polegająca na wynajęciu całej infrastruktury teleinformatycznej w niektórych wypadkach ma sens i dobre uzasadnienie ekonomiczne. Problem jest jednak w tym, że trzeba to zrobić dobrze.

Dlatego warto zrobić jedno ważne założenie - osoba odpowiedzialna za bezpieczeństwo musi być pracownikiem przedsiębiorstwa. Bo wówczas z reguły dobrze zna ona firmę oraz jej organizację i dzięki temu może łatwiej przeanalizować i uwzględnić wszystkie potencjalne problemy. A zewnętrzny usługodawca najczęściej nie może tego zrobić, gdyż dysponuje ograniczoną wiedzą.

Zewnętrzny pracownik nie będzie miał szansy przygotowania firmy do pracy w bardzo trudnych warunkach, np. w stanie kryzysowym. Przykładem może być utrata głównego biura z powodu pożaru, katastrofy żywiołowej lub budowlanej. Osoba pracująca w firmie na co dzień będzie miała pozasłużbową wiedzę na temat tego jak zachowują się i co potrafią jej koleżanki i koledzy. Łatwiej będzie jej znaleźć dobrych liderów grup, którzy pomogą w szybkim uruchomieniu choćby minimalnych zasobów systemu IT. Oprócz tego dobry oficer bezpieczeństwa posiada (w głowie lub odpowiednim dokumencie) plan działania na wypadek bardzo poważnych zdarzeń. Organizacji i zasad szybkiego podejmowania decyzji można się nauczyć, ale wiedza na temat potencjału konkretnych pracowników firmy bywa bezcenna i może zasadniczo ułatwić podejmowanie optymalnych decyzji.

Ponadto nikt nie może być sędzią we własnej sprawie - wykonawca usługi będzie robił wszystko, by podawane przez niego wyniki pracy systemu wyglądały na poprawne. Posiadanie organu kontrolnego w postaci własnego oficera bezpieczeństwa może być więc poważnym atutem. Można oddać usługę administrowania serwerami, aplikacjami lub zaporami, ale najważniejsze sprawy związane z procedurami bezpieczeństwa powinny pozostać w firmie. Zwłaszcza że procedury, strategie, wymogi lub szacowanie ryzyka wymagają najwyższego poziomu uprzywilejowania.

Warto także zwrócić uwagę, że firmy obsługujące inne przedsiębiorstwa tak kalkulują swoje zasoby, by zapewnić obsługę z pewną, ale tylko nieznaczną rezerwą. Ponieważ zazwyczaj obsługują wiele przedsiębiorstw, gdy wydarzy się poważna klęska żywiołowa taka jak powódź, dotyka ona jednocześnie wiele przedsiębiorstw i obciążenie, a więc jakość usług świadczonych przez firmę zewnętrzną, nawet najlepiej przygotowaną na taki wypadek, może ulec gwałtownemu pogorszeniu.

W tym wypadku własny system i pracownicy firmy obsługujący tylko swoje przedsiębiorstwo będą znacznie sprawniejsi, bowiem istniejące rezerwy zostaną w całości przeznaczone na jedno zadanie - utrzymanie aplikacji w ruchu i zapewnienie jak najmniejszych strat.