Späť

4. Opatrenia na zmiernenie rizík spojených s outsourcingom

Riziká vyplývajúce z outsourcingu služieb spojených s informačnými a komunikačnými technológiami a ich bezpečnosťou je možné zmierniť implementáciou vhodných bezpečnostných opatrení. Výber týchto opatrení musí byť podporený predchádzajúcim vykonaním analýzy rizík. Prvým krokom je identifikácia, klasifikácia a ohodnotenie informácií, ku ktorým bude mať dodávateľ prístup. Na predchádzanie  úniku informácií je potrebné uzavrieť NDA, kde bude špecifikované trvanie mlčanlivosti o zistených informáciách – pri istých typoch informácií to môže byť aj na neurčitú dobu. V NDA je tiež potrebné špecifikovať činnosti požadované pri vypršaní lehoty mlčanlivosti, zodpovednosti dodávateľa a činnosti, ktoré musí vykonávať pre ochranu informácií, vyjasniť si vlastníctvo informácií, obchodného tajomstva a duševného vlastníctva v súvislosti s ochranou týchto informácií a úkony, ktoré sú dodávateľovi povolené so sprístupnenými informáciami vykonávať. Účinným nástrojom je aj vyhradenie si práva na vykonanie auditu bezpečnosti informačných systémov u dodávateľa a právo na monitorovanie aktivít spojených so spracúvaním alebo iným narábaním s citlivými informáciami. Súčasťou takejto dohody  by mali byť aj podmienky vrátenia sprístupnených informácií a spôsob ich bezpečného ničenia a tiež proces pre nahlasovanie neautorizovaného vyzradenia informácií a úniku citlivých informácií. V neposlednom rade je potrebné dohodnúť sa aj na krokoch, ktoré budú podniknuté v prípade porušenia tejto dohody. Dohoda o mlčanlivosti musí byť v súlade s platnou legislatívou, zmluvnými a regulačnými podmienkami a požiadavky na mlčanlivosť je potrebné preskúmavať, a to v pravidelných intervaloch a v prípade zmien, ktoré môžu mať na tieto požiadavky vplyv. V prípade vývoja informačných systémov s využitím outsourcingu je potrebné zvážiť licenčné podmienky, vlastníctvo kódu, duševné vlastníctvo a spôsob testovania. Tiež je potrebné špecifikovať zmluvné požiadavky na bezpečný návrh, vývoj a testovanie a požadovať dôkazy o tom, že boli dodržané aspoň minimálne požiadavky na bezpečnosť a že bolo vykonané dostatočné testovanie na ochranu pred škodlivým obsahom a prítomnosťou zraniteľností.

Čo v prípade, že dodávateľ je zasiahnutý výpadkom dodávky elektrickej energie, prírodným nešťastím, geopolitickými nepokojmi alebo inou krízou? Bude schopný nám aj počas tejto krízy poskytovať služby? A ak nie, tak sme schopní pokračovať v kritických procesoch alebo vieme takýto výpadok tolerovať? Pri výbere dodávateľa je potrebné brať do úvahy aj fakt, či má nasadené plány kontinuity činností a plány obnovy. Nie je dobré spoliehať sa len na ústne uistenie, ale je potrebné tieto plány aj preskúmať. Dobrou prípravou na potenciálnu krízu je vykonanie cvičení na preverenie týchto plánov spoločne s dodávateľom. Počas cvičenia je možné simulovať krízovú situáciu, ako napr. zmazanie produkčných dát nespokojným administrátorom, výpadok energie v dátovom centre alebo záplavy. Pri prvotných cvičeniach bude postačovať preskúmanie plánov, prípadne vykonanie cvičenia „od stola“ (table-top exercise) a pri ďalších cvičeniach postupne zvyšovať náročnosť a implementovať tiež neohlásené cvičenia. Výsledkom cvičenia môže byť jedine úspech, pretože aj v prípade nevyriešenia krízovej situácie takéto cvičenie poskytne prehľad o tom, ktoré procesy a aktivity riešenia krízovej situácie potrebujú zlepšenie. Cvičenia sa vykonávajú preto, lebo je lepšie identifikovať možnosti zlyhania počas nich a nie pri výskyte reálneho incidentu.

Je potrebné sa zamyslieť tiež nad tým, či naša organizácie nie je na dodávateľovi príliš závislá. Odberanie viacerých služieb od jedného dodávateľa môže priniesť výhody v podobe nižšej ceny za tieto služby  v porovnaní s prípadom distribúcie týchto služieb viacerými dodávateľmi. Pokiaľ ale dodávateľ zaznamená vážne problémy a hrozí výpadok viacerých služieb súčasne, tak sa potom  z dodávateľa môže stať tzv. SPOF (single point of failure) – bod, pri zlyhaní ktorého hrozí výpadok celého systému. Rovnako v regulovaných odvetviach môže výpadok systému znamenať nesplnenie zákonných požiadaviek, pri ktorých hrozia nemalé sankcie. Odvolanie sa na zlyhanie dodávateľa v týchto prípadoch určite neobstojí.

Súčasťou zmluvy, resp. dohody s dodávateľom by mala byť aj požiadavka, že dodávateľ bude dodržiavať bezpečnostné smernice organizácie. Je dobré mať implementovanú smernicu pre outsourcing, kde bude predpísaný spôsob výberu dodávateľa, spôsob vyhodnocovania rizík spojených s outsourcingom a obsah zmlúv s dodávateľmi, obsah dohôd o úrovni poskytovaných služieb a dohôd o mlčanlivosti. Rovnako je vhodné mať tam stanovený spôsob prijímania zamestnancov dodávateľa, požiadavky na ich vzdelanie a schopnosti, rozsah prístupu aký je možné dodávateľovi umožniť, spôsob vykonávania auditu u dodávateľa a zodpovednosti za jednotlivé činnosti na zaistenie informačnej bezpečnosti.

Outsourcing informačných technológií, informačnej bezpečnosti a s nimi spojených služieb je možný  aj napriek tomu, že so sebou prináša riziká. Akékoľvek zlyhanie v tejto oblasti môže mať závažné dopady na prevádzku a bezpečnosť organizácie. Je preto potrebné k outsourcingu pristupovať zodpovedne, s uvedomením si všetkých rizík a na ich základe implementovať opatrenia na ich predchádzanie. Nikdy nie je možné úplne odstrániť všetky riziká a aj napriek nasadeniu opatrení vždy ostane nejaké zvyškové riziko. Miera jeho akceptácie ale záleží na tzv. „risk apetíte“ – tj. ochote vedenia riskovať a dané riziko podstúpiť.

Stiahni si Alfiho
do mobilu

Návody ku jednotlivým službám štátneho IT môžeš odteraz využívať aj prostredníctvom mobilnej aplikácie.