Bezpieczeństwo zleceń outsourcowanych

Jeśli polegamy na outsourcingu, powinniśmy zadbać o kwestie bezpieczeństwa – dostawcy usług nie zawsze stosują te same procedury i narzędzia co zleceniodawca. Może to tworzyć ryzyko wycieku danych. Na co zwracać uwagę, kiedy decydujemy się na outsourcing?

Wiele firm ma dziś problem z dostępem do specjalistów IT – jest ich za mało. W Europie brakuje ok. 300 tys. informatyków, na polskim rynku niedobór kadr IT szacuje się na ok. 50 tys. – wynika z danych firmy Sollers Consulting, specjalizującej się w rozwiązaniach IT dla sektora finansowego. Z tego powodu część przedsiębiorstw sięga po outsourcing IT, aby realizować kolejne projekty w terminach narzucanych przez klientów. Zlecanie prac na zewnątrz jest więc w pełni uzasadnione, niemniej nie możemy ignorować kwestii bezpieczeństwa. Doprowadzenie do utraty danych, włamań czy przejęć może narazić nas na duże koszty, dlatego wynegocjowanie odpowiednich warunków współpracy z firmą outsourcingową jest niezwykle ważne.

Jakie mogą być konsekwencje braku zachowania wysokiego poziomu bezpieczeństwa? Te najważniejsze to przeznaczenie środków na naprawę luk i błędów oraz zadośćuczynienie dla swoich klientów, ale w grę wchodzi również nadszarpnięta reputacja, spadek sprzedaży, zakłócenia w zarządzaniu codzienną pracą firmy, sankcje prawne, czy też pozwy ze strony udziałowców. Można powiedzieć: jest o co walczyć. Jednocześnie do negocjacji z dostawcą trzeba się dobrze przygotować, ponieważ ci, co zrozumiałe, nie chcą nawiązywać współpracy, ryzykując koniecznością wypłacania wysokich odszkodowań, niewspółmiernych do otrzymywanych dochodów. Chcąc zapewnić sobie bezpieczeństwo, często łatwiej jest wprowadzić pewne procedury i kilka zmian u siebie, ponieważ dostawcy będą raczej dążyć do tego, aby odpowiedzialność po ich stronie była jak najbardziej ograniczona. O czym warto wiedzieć?

Zobacz również:

Chmura może komplikować

Analitycy Gartnera przewidują, że na rynku cyberbezpieczeństwa segmentem, który osiągnie najwyższą wartość, będzie zlecanie prac związanych z bezpieczeństwem na zewnątrz. Wartość tego typu usług ma wzrosnąć w tym sektorze z 14,1 mld USD w 2014 r. do 24,5 mld USD w roku 2019.

Niektóre przedsiębiorstwa wykorzystują do pracy narzędzia dostępne w chmurze i oferowane przez firmy trzecie. Dane są wówczas rozproszone i przechowywane w różnych lokalizacjach. Jeśli zdecydujemy się na outsourcing i okaże się, że w trakcie współpracy trzeba korzystać z niektórych narzędzi chmurowych firm trzecich, może to skomplikować warunki umowy i kwestię odpowiedzialności za ewentualne szkody.

W przypadku chmury standardowa umowa o współpracy może zakładać, że klient (zleceniodawca) ma prawo do zatwierdzania podwykonawców (usługi w chmurze firm trzecich), z którymi współpracuje firma outsourcingowa. W takim wypadku zleceniodawca powinien otrzymać pisemne zapewnienia, że podwykonawcy spełniają wszystkie wymagane polityki i standardy bezpieczeństwa. Dodatkowo powinna być zapewniona możliwość wglądu w listę firm trzecich, które współpracują przy projekcie, zwłaszcza jeśli w grę wchodzą dane osobowe i przepisy związane z prywatnością.

Warto zwrócić również uwagę na aspekt ograniczania wtórnego wykorzystania danych przez firmę outsourcingową czy firmę trzecią (dostawcę usług chmurowych), nawet jeśli są to dane zagregowane czy zanonimizowane. Z komercyjnego punktu widzenia dostęp do danych może sprawić, że podwykonawca będzie mógł wykorzystać je do celów zarobkowych, natomiast ze względów bezpieczeństwa dane osobowe użyte przez inne firmy zwiększają ryzyko wycieku czy włamania, a także mogą narazić zleceniodawcę na naruszenie praw związanych z prywatnością.

Poza tymi aspektami firma, która decyduje się na outsourcing, powinna wprowadzić też pewne zmiany i procedury u siebie.

Dbanie o bezpieczeństwo danych

Pierwszym krokiem powinno być zadbanie o bezpieczeństwo danych wewnątrz organizacji. Trzeba mieć pewność, że jeśli doszłoby do problemu związanego z bezpieczeństwem (np. kradzież danych), to na pewno nie będzie to z naszej winy. Dodatkowo warto zminimalizować ryzyko i mieć opracowany plan postępowania, gdyby okazało się, że w przypadku włamania czy wycieku danych firma outsourcingowa nie będzie w stanie poradzić sobie z problemem lub zareagować odpowiednio szybko. Wówczas będziemy mogli starać się o odszkodowanie, ale to nie rozwiąże problemu, dlatego warto mieć plan awaryjny.

Kiedy zadbamy o bezpieczeństwo wewnątrz organizacji, kolejnym krokiem jest wybór właściwego dostawcy. Pod uwagę należy wziąć polityki bezpieczeństwa stosowane przez daną firmę, upewniając się, że ma ona jasne zasady i procedury postępowania, które przewidują wiele różnych scenariuszy zagrożeń. Ponadto warto sprawdzić, z jakimi klientami współpracuje już dana firma outsourcingowa i czy ta współpraca trwa długo. Jeśli tak jest i przez cały ten czas nie było żadnych włamań i awarii, to dobry znak, wskazujący, że dostawca oferuje usługę na wysokim poziomie. Jednocześnie nie oznacza to, że powinniśmy mu powierzyć więcej informacji czy plików, niż jest to wymagane. Dlatego kolejną zasadą, jeśli chodzi o bezpieczną współpracę outsourcingową, jest podejście Principle of Least Privilege (PoLP), zakładające, że dostawca uzyskuje dostęp wyłącznie do niezbędnych zasobów. Dodatkowo warto ten dostęp jeszcze zawęzić i udostępniać konkretne materiały tylko poszczególnym pracownikom dostawcy, a nie całej firmie.

Warto przeprowadzać też cykliczny audyt. Dzięki temu zyskamy pewność, że jeśli wystąpi problem, dostawca na pewno sobie z nim poradzi, w dodatku tak szybko, jak to możliwe. Audyt pozwoli sprawdzić, czy dostawca jest na bieżąco i czy postępuje w zgodzie z zasadami i procedurami bezpieczeństwa, o których wspominał na początku współpracy. W audycie należy poświęcić uwagę również kwestii oprogramowania i sprzętu, upewniając się, czy zainstalowane są wszystkie aktualizacje i poprawki. Takie całościowe podejście sprawi, że współpraca outsourcingowa powinna być bezpieczna.

A może zlecić bezpieczeństwo?

Analitycy Gartnera przewidują, że na rynku cyberbezpieczeństwa segmentem, który osiągnie najwyższą wartość, będzie zlecanie prac związanych z bezpieczeństwem na zewnątrz. Wartość tego typu usług ma wzrosnąć w tym sektorze z 14,1 mld USD w 2014 r. do 24,5 mld USD w 2019 r. Co powoduje, że firmy zlecają na zewnątrz zajmowanie się bezpieczeństwem danych? Przede wszystkim brak specjalistów. Mniej więcej 10 lat temu utrzymanie właściwego poziomu bezpieczeństwa było o wiele łatwiejsze niż obecnie; w dużej mierze wystarczało stosowanie narzędzi opierających się na profilaktyce, takich jak: firewalle, antywirusy, czy też bramki e-mail. Przedsiębiorstwa przeznaczały środki na zakup tego typu narzędzi i mogły mieć pewność, że ich dane będą bezpieczne, a przynajmniej, że zyskają dzięki nim wysoki poziom bezpieczeństwa.

Dziś cyberbezpieczeństwo to rozwinięta i złożona dziedzina – pojawiło się o wiele więcej zagrożeń i rozwiązań, które tym zagrożeniom zapobiegają i je zwalczają. Bardzo często pojawia się też hasło „czynnik ludzki” – wielu ekspertów przekonuje, że wystarczy mały błąd jednego z pracowników, aby narazić firmę np. na wyciek danych i związane z tym straty. Najwięcej obaw kojarzonych jest z firmami, które stosują politykę BYOD, pozwalając pracownikom korzystać z prywatnych urządzeń do celów służbowych, również w podróży. Wiele firm zleca kompetencje z zakresu bezpieczeństwa IT na zewnątrz, ponieważ jest to znacznie łatwiejsze niż tworzenie działu cyberbezpieczeństwa u siebie. „Dostarczaniem kompetencji IT zajmują się wyspecjalizowane firmy, które znają rynek, mają obszerne bazy kontaktów, a przede wszystkim zatrudniają dużą liczbę specjalistów” – mówi Konrad Gandziarski, dyrektor regionalny w outsourcingowej firmie IT Kontrakt, współpracującej z prawie 1300 specjalistami w Polsce. Ale czy nie wychodzi taniej, jeśli zatrudnimy specjalistę u siebie i na etat? Na takie pytanie każda firma musi udzielić sobie odpowiedzi samodzielnie, ponieważ w grę wchodzi okres wdrożenia, świadczenia dodatkowych benefitów, kosztów nieobecności, kosztów pozyskania, transferu wiedzy itp. U niektórych przedsiębiorstw mogą to być na tyle wysokie koszty, że outsourcing okaże się nie tylko o wiele wygodniejszy, ale też tańszy. Wyznacznikiem, czy warto korzystać z outsourcingu, nie jest też wielkość firmy. „Jest nim presja czasowa oraz dostęp do wiedzy eksperckiej” – zauważa Konrad Gandziarski.

Jeśli zdecydujemy, że chcemy zlecić cyberbezpieczeństwo na zewnątrz, wówczas warto dokładnie przemyśleć jeszcze dwa aspekty. Po pierwsze, utrata pewnego poziomu kontroli i przystanie na wymagania firmy outsourcingowej. To może być np. konieczność używania wybranego oprogramowania lub spełnienie określonych wymagań sprzętowych. Mogą to być dodatkowe koszty, których na początku nie braliśmy pod uwagę. I po drugie, umowa o współpracy i związane z tym warunki. Należy dokładnie sprawdzić, na jakich zasadach działa dana firma i jak reaguje np. na nagłe incydenty, jaki jest obiecany czas podjęcia działań, jakie zabezpieczenia są stosowane i jak często są wprowadzane aktualizacje. Sektor cyberbezpieczeństwa szybko się zmienia i jeżeli dostawca nie jest na bieżąco i nie stara się być o krok przed hakerami, nie będzie dobrym partnerem do współpracy.

Finalnie możemy rozważyć jeszcze model współpracy o nazwie co-sourcing. Dostawca oferuje wówczas odpowiednie technologie i procedury, natomiast sprawowanie pieczy nad codziennymi zadaniami zostawia po stronie naszych pracowników. Można dostosować tego typu współpracę do własnych potrzeb i czasami jest to dobra opcja – zwłaszcza jeśli chcemy, aby wszelkie dokumenty i pliki nie opuszczały siedziby naszej firmy.

Co radzą prawnicy?

Rebecca Eisner, partner w kancelarii prawniczej Mayer Brown, przygotowała kilka porad prawnych dla amerykańskiej edycji serwisu CIO.com, należącego do wydawnictwa IDG. Jakie aspekty należy wziąć pod uwagę, zanim zdecydujemy się na współpracę outsourcingową? Jak się zabezpieczyć i czego nie można pominąć? Oto najważniejsze zalecenia:

1. Należy przyjrzeć się wszystkim dostawcom, również firmom trzecim, np. tym, które oferują narzędzia działające w chmurze, z których korzystamy. Trzeba wiedzieć, które firmy przetwarzają nasze dane lub mają bezpośredni do nich dostęp i jakie formy zabezpieczeń zapewniają.

2. Wraz z firmą outsourcingową i prawnikami należy ustalić, które z firm trzecich stanowią największe zagrożenie, jeśli chodzi o dostęp do danych. Następnie trzeba wypracować procedury, dzięki którym zapewnimy sobie bezpieczeństwo. Jeśli zlecamy stworzenie aplikacji webowej na zewnątrz, powinniśmy zatroszczyć się również o bezpieczeństwo narzędzi, które będą wykorzystywane przez programistów w trakcie prac. Są to zwykle narzędzia firm trzecich, z którymi nie wchodzimy we współpracę. Jeżeli firma outsourcingowa będzie korzystać z takiego narzędzia i zostanie ono przejęte przez cyberprzestępców, wówczas może dojść do utraty naszych danych. Dlatego już na początku trzeba ustalić, kto w takim wypadku będzie ponosił odpowiedzialność.

3. Należy ocenić zabezpieczenia związane z ochroną danych i ich prywatnością, szczególnie jeśli chcemy realizować projekt międzynarodowy. Na przykład jeśli we współpracy mają uczestniczyć firmy z Europy i Stanów Zjednoczonych, musimy wiedzieć, czy firma outsourcingowa spełnia wszystkie wymagania, odnośnie do przetwarzania i przekazywania danych osobowych na terenie Unii Europejskiej i poza nim.


TOP 200