Hva skjer når IT-avdelingen settes ut?

Hva skjer når IT-avdelingen settes ut?

Stadig flere virksomheter velger å outsource hele eller deler av både it-drift og utvikling. Outsourcing eller såkalt utkontraktering gjøres også over landegrenser, blant annet er India et populært valg.
Stadig flere virksomheter velger å outsource hele eller deler av både it-drift og utvikling. Outsourcing eller såkalt utkontraktering gjøres også over landegrenser, blant annet er India et populært valg. Men hva skjer med informasjonssikkerheten ved utkontraktering?

Tradisjonelt har aktørene i sikkerhetsbransjen fokusert på aktiviteter som skal gjennomføres i forkant av utkontrakteringen, det vil si sørge for å avtalefeste relevante tekniske sikkerhetsmekanismer. Tiden etter utkontraktering er det imidlertid færre som jobber systematisk med sikkerhet. Spørsmålet blir da hvordan sikkerheten følges opp når sikkerhetsfunksjonen blir med på utkontrakteringslasset?

nn Informasjonssikkerhet er en lovpålagt aktivitet i alle organisasjoner som behandler personopplysninger (det vil i praksis si alle virksomheter i Norge). Sikkerhet ved utkontraktering skal i følge personopplysningsforskriftens § 2-15 reguleres i avtale. Det er en forutsetning at personopplysninger ikke overføres til andre uten at man sikrer at risikoeksponeringen er akseptabel. Man pålegges så å følge opp at risikoeksponeringen er akseptabel, så lenge man utveksler informasjon med en tredjepart.

På samme måte er det satt fokus på oppfølgingsaspektet i Kredittilsynets IKT-forskrift hvor det i § 2 fremgår at:

8...Ved utkontraktering av deler eller hele IKT-virksomheten skal foretaket ha egne retningslinjer som skal sikre leveransen...8 Dette er gode prinsipper ) og prinsipper som også anbefales i Norsk standard for informsjonssikkerhet (NS) 7799 - Styringssystem for informasjonssikkerhet. Likevel ser vi ofte at det er fokus på etablering av avtaler ved utkontraktering, men at systematikken knyttet til oppfølging av leveransepresisjon er mer begrenset og av mindre god kvalitet. Måling av leveransepresisjon skjer primært ved mottak av standard respons- og oppetidsrapporter. Nærmere oppfølging av leveransepresisjon skjer eventuelt dersom det inntreffer omfattende avvik knyttet til nedetid eller driftsforstyrrelser.

nn Hva er så grunnen til manglende oppfølgingssystematikk? Hvorfor legges det mer arbeid inn i å etablere kravene enn å følge dem opp? Min påstand er at det skyldes at sikkerhetsfunksjonen ikke er moden for oppgaven. Ofte har de heller ikke har hatt fokus på de riktige områdene i tiden før utkontraktering ) de jobber veldig driftsrettet (for mange blir også effekten at de oppleves som en driftsfunksjon og dermed følger med når øvrige driftsoppgaver settes bort.)

Det er helt sentralt at man kontrollerer driftsleverandører nøye i hele perioden der man har et kundeforhold. Oppfølgingen bør være i form av revisjoner, avviksrapportering, risikovurdering osv. Dette gjøre at sikkerhetsfunksjones rolle som internrevisor bør styrkes generelt og ikke minst i forbindelse med utkontraktering. Avhengigheten av driftleverandører er ofte så stor at det ikke er mulig å raskt bytte til alterantive tilbydere, samtidig har man ikke like god innsikt i eksterne driftsorganisasjoner som i eget hus.

Hvordan kan man så legge opp et løp for å etablere en relevant oppfølging av sikkerhetsarbeidet, herunder eksterne driftsleverandører? Svaret er at det må starte uavhengig av, og helst lenge før, utkontraktering. Steg èn bør være å skille mellom operativt drifts-/sikkerhetsarbeid og oppfølging av arbeidet. Deretter må det etableres oppfølgingsmekanismer: avviksrapportering, sikkerhetsrevisjon og risikovurdering. Sentralt i denne fasen er at 8sikkerhetshåndboka8 eller lignende som gir instrukser for nettverkssikkerhet, brukeradministrasjon, hjemmekontor mv, avvikles, eventuelt overlates til driftsorganisasjonen.

En ny 8Sikkerhetshåndbok8 bør så etableres som primært beskriver: Forankring av sikkerhetsfunksjonen, organisering av arbeidet og sentrale rutiner/tiltak knyttet til risikovurdering, oppfølging og rapportering. Det må også etableres en funksjon/rolle for å ivareta oppfølgingsoppgavene. Det er dette som defineres som sikkerhetsledelse i personopplysningsforskiften og i NS 7799 Styringssystem for informasjonssikkerhet. Det er videre en forutsetning at sikkerhetsfunksjonen knyttes opp mot ledelsen i selskapet slik at avvik og revisjonsresultater kan håndteres på en effektiv måte (en slik organisatorisk status følger også av personopplysningsforskriften og NS 7799).

nnOppsummert betyr dette at sikkerhetsfunksjonen må styrkes ved utkontraktering av IT-avdelingen. Praksis viser imidlertid at dette ofte ikke skjer, og at sikkerhetsfunksjonen tvert i mot inngår i kontrakten, og at funksjonen forsvinner sammen med IT-avdelingen. Dette skjer pga at sikkerhetsfunksjonen har plassert seg selv i en driftsrolle. Dette er utfornuftig av sikkerhetsfunksjonen utifra et taktisk hensyn. Mer alvorlig er det at det også medfører at virksomheten ikke opptrer i samsvar med personopplysningsforskriften og at utkontrakteringsrisikoen øker betraktelig; virksomheten mister kontroll over leveransen.

Min anbefaling er at det gjøres en fornyet vurdering av oppgavene sikkerhetsfunksjonen ivaretar og at fokuset endres; fra drift til oppfølging! I en slik situasjon der sikkerhetsfunksjonen skal ivareta oppfølgingsoppgaver vil også kravet til habilitet gjøre seg gjeldende. Dette kravet ivaretas best ved å plassere sikkerhetsfunksjonen direkte under virksomhetens leder.

Lars Erik Fjørtoft,
manager i Deloitte Enterprise Risk Services