Inštitúcie verejnej správy podobne ako firmy a organizácie zo súkromného sektora využívajú outsourcing ako jednu zo stratégií boja s chýbajúcimi profesionálmi a nedostatkom finančných prostriedkov pre oblasť informačných a komunikačných technológií. Je ale nákup IT služieb pre zabezpečenie kritických procesov a bezpečnosti organizácie u dodávateľa vždy správnou voľbou?
Outsourcing je v súčasnosti obľúbeným spôsobom optimalizácie nákladov prostredníctvom nákupu služieb, ktorými sa zabezpečujú činnosti nepredstavujúce hlavnú činnosť organizácie. Existuje množstvo funkcií, ktoré je možné zabezpečiť outsourcingom. Organizácia môže takýmto spôsobom obstarávať služby personalistiky, dopravy, upratovacie služby, ale aj IT služby a infraštruktúru. Napriek tomu, že využívanie outsourcingu môže byť veľmi výhodné, môže so sebou priniesť aj množstvo netriviálnych rizík.
Predovšetkým nadmerné outsourcovanie IT služieb či zabezpečovanie informačnej bezpečnosti týmto spôsobom môže pre organizáciu predstavovať novú hrozbu. Odhliadnuc od nutnosti umožnenia prístupu k citlivým a dôležitým informáciám organizácie tretej strane.
Ide o hrozbu zvnútra organizácie, pretože dodávateľ sa de facto stáva súčasťou organizačnej štruktúry. Je preto potrebné vykonávať analýzu rizík spojených s dodávateľmi a implementovať opatrenia na ich minimalizáciu. Predovšetkým umožniť prístup len k takým informáciám, ktoré dodávateľ nevyhnutne potrebuje na vykonávanie obstaraných činností a vykonávať ich monitorovanie a pravidelne preskúmavať prístupové práva na predchádzanie bezpečnostným incidentom, akým je napr. únik informácií.
Hoci je možné outsourcovať prevádzku organizácie, neznamená to ale zbavenie sa zodpovednosti za chod organizácie a ochranu jej dobrého mena prostredníctvom outsourcovania. Tá ostáva vždy na pleciach vedenia.
Outsourcovať je možné používanie a prevádzku hardvéru, softvéru alebo aj samotných služieb. Typickými príkladmi sú prevádzka dátového centra, aplikácie, webovej stránky a služby spojené s bezpečnosťou. V prípade outsourcingu bezpečnosti hovoríme o MSS (Managed Security Services), ktorý predstavuje napr. prevádzku firewallov, monitorovanie sieťovej prevádzky, ochranu pred škodlivým kódom alebo prevádzku virtuálnych privátnych sietí. Existuje viacero dôvodov, prečo sa organizácia rozhodne pre outsourcing. Často nimi sú snaha zamerať sa predovšetkým na hlavný predmet činnosti organizácie a podporné služby outsourcovať, snaha znižovať náklady, prístup k špecializovaným znalostiam, schopnostiam a zdrojom, získanie konkurenčnej výhody a pod.
Úzke prepojenie medzi poskytovateľom a odberateľom outsourcovaných služieb a závislosť na kvalite týchto služieb sú dôvodom, prečo je potrebné posúdiť riziká na technickej, fyzickej či personálnej úrovni, ktoré z takejto spolupráce vyplývajú.
Keďže dodávateľ bude mať prístup do vnútra organizácie, získa tak znalosti o zamestnancoch, infraštruktúre, procesoch, ale aj o zraniteľnostiach v systémoch a opatreniach, ktoré má organizácia implementované. Dodávateľ môže spracúvať a narábať s citlivými informáciami, informačnými systémami a inými aktívami, môže mať prístup k používateľským menám a heslám a tak možnosť pristupovať k veľmi citlivým alebo chráneným informáciám. K takýmto informáciám môžu patriť finančné informácie, firemné e-maily v prípade outsourcovanej správy emailového systému, vyvíjaný špecializovaný softvér, obchodné tajomstvo, duševné vlastníctvo, know-how alebo personálne informácie o zamestnancoch. Útočníci môžu mať snahu získať tieto informácie a použiť ich pre svoj finančný zisk, prípadne ich využiť ako nástroje pre ďalšie útoky, napr. pomocou sociálneho inžinierstva. V kombinácií so zraniteľnosťami v nástrojoch na prácu na diaľku, ktoré sa pri IT outsourcingu často používajú, starými a nepoužívanými používateľskými alebo administrátorskými účtami a chýbajúcim alebo nedostatočným logovaním sa bezpečnostné riziká nutne zvyšujú. Je preto potrebné týmto rizikám pristupovať zodpovedne a bezpečnosť outsourcingu riadiť.
1.Bezpečnosť outsourcingu
2.Výber dodávateľa a stanovenie podmienok
3.Outsourcing bezpečnosti
4.Opatrenia na zmiernenie rizík spojených s outsourcingom
Návody ku jednotlivým službám štátneho IT môžeš odteraz využívať aj prostredníctvom mobilnej aplikácie.
