Du trenger ikke være ekspert på alle områder
DEBATT: En av de vanskeligste vurderingene et selskap må gjøre fra et it-sikkerhetsperspektiv, er å bestemme hva man ikke skal prioritere. Eller rett og slett nedprioritere, i alle fall på kort sikt. Det skriver Robert Austreim.
Evnen til å gjøre risikobaserte prioriteringer, heller enn å alltid være føre-var, blir stadig viktigere ettersom de økonomiske rammene blir strammere både nasjonalt og globalt.
En av hovedmomentene i en slik tilnærming er balansen mellom egenforvaltning og tjenesteutsetting. De aller færreste bedrifter har alle it-tjenester «in-house». Samtidig kan det finnes synergier både ved egenforvaltning og tjenesteutsetting som ikke er åpenbare.
Avhengig av organisasjonens teknologiske profil, kan det være mer eller mindre fordelaktig å investere i intern sikkerhetsekspertise. Selger du et internett-tilkoblet produkt, kan en intern sikkerhetsansatt bidra til å styrke kommunikasjonen din rundt sikkerhetsegenskapene til produktet, samtidig som den bidrar til effektiv forvaltning av it-sikkerhetsrisiko.
Tjenesteutsetting bør vurderes med bakgrunn i det trusselbildet du står ovenfor.
Har du gode forutsetninger for å vurdere dette, vil du kunne gjøre innkjøp som understøtter ressurser du allerede har. Mange tilbyr overvåkning og drift som en tjeneste. Utfordringen er å vurdere kvaliteten og relevansen av tjenestene som leveres.
Da kan intern ekspertise øke kvaliteten på en ekstern leveranse.
Evnen til å gjøre risikobaserte prioriteringer, heller enn å alltid være føre-var, blir stadig viktigere ettersom de økonomiske rammene blir strammere både nasjonalt og globalt.
Det regulatoriske landskapet kan tilsi at du trenger mer intern kompetanse. Bedrifter underlagt særlovgivning eller som behandler mye personopplysninger, vil vanskelig komme unna med total tjenesteutsettelse. Også her er det nyttig å tenke at slike bedrifter også blir vurdert av kundene. Har du ansatt en personvernrådgiver er det verdt å snakke høyt om. Det bygger nemlig tillit hos dine kunder.
Noen områder kan være både risikofylte og kompliserte. For eksempel vil innkjøp av ny maskinvare, som kontorprintere, være både kostbart og inneholde mange vurderingsmomenter. I slike tilfeller vil en feilvurdering kunne bety at en sitter igjen med utrygg maskinvare i flere år. Da kan det være hensiktsmessig med tjenesteutsettelse, slik at en kan dra nytte av en leverandørs særkompetanse, men med klare forbehold om leveransekvalitet.
På denne måten blir risiko redusert, samtidig som forutsigbarhet og kvalitet blir ivaretatt. Likevel må man ha kompetanse til å evaluere og stille krav til leverandøren, innenfor alt fra bærekraft til økonomi til It-sikkerhet både i produktets egenskaper og hos leverandøren selv.
En slipper altså ikke unna at en må ha noe ekspertise selv.
En god balanse mellom tjenesteutsettelse og egenforvaltning er altså at man tar høyde for både «harde» og «myke» rammebetingelser over tid.
Selskapene må sørge for å ha lovpålagt og kritisk kompetanse internt, samtidig bør man bruke tjenesteutsetting for å utfylle eller styrke den interne kompetansen på områder der risikobildet til enhver tid tilsier det. Lykkes en med dette kan en oppnå store gevinster ved både lavere it-sikkerhetsrisiko kombinert med lavere kostnader.
Her ligger det muligheter for dobbel gevinst. Vel å merke med en systematisk og grundig tilnærming til problemstillingen.
Du trenger derfor ikke være best i absolutt alt!
Robert Austreim, Print as a Service Product Manager, Canon
