Čo v prípade outsourcovania samotnej bezpečnosti informačných systémov? Ako už bolo spomenuté vyššie, je možné outsourcovať dodávanie služieb a produktov na zaistenie informačnej bezpečnosti. Nie je však možné outsourcovať zodpovednosť za to, že bezpečnostné mechanizmy zlyhajú a organizácia bude prepieraná v médiách za únik osobných údajov či iných citlivých dát a zároveň jej dobré meno utrpí natoľko, že nebude schopná získavať nových zákazníkov a udržať si starých. Nakoniec bude prinútená z trhu odísť, pretože nebude schopná konkurencie. Organizácie, ktoré majú záujem outsourcovať niektoré procesy informačnej bezpečnosti si musia byť vedomé potenciálnych dopadov.
Dôvodov pre outsourcing niektorej oblasti informačnej bezpečnosti môže byť viacero. Napríklad organizácii môže chýbať kapacita na riešenie niektorých špecializovaných úloh a náklady na obsadenie takejto pozície by zaťažili rozpočet. Ako príklad môže slúžiť forenzná analýza alebo penetračné testovanie. Zamestnávať odborníkov na tieto činnosti na plný úväzok by mohlo byť finančne veľmi nákladné, najmä preto, že kybernetické útoky proti jednej organizácii sa nestávajú tak často, aby sa to organizácií oplatilo. V tomto prípade je využitie outsourcingu dobrý nápad, pretože dodávateľ služieb pravdepodobne disponuje radom odborníkov, ktorí sú na tieto činnosti odborne pripravení a vďaka väčšiemu počtu zákazníkov majú mnoho skúseností, disponujú špecializovaným hardvérom a softvérom, nástrojmi a znalosťami aktuálnych zraniteľností a hrozieb. Problémom v tomto prípade môže byť schopnosť posúdiť ich znalosti a odbornú spôsobilosť, keďže väčšinou ide o vysoko špecializované činnosti. V prípadoch, keď je to možné odporúčame využívať služby iných organizácií verejnej správy, ktoré sú na takúto činnosť špecializované a svoje služby poskytujú iným štátnym inštitúciám bezodplatne.
Pre aké oblasti informačnej bezpečnosti už ale využitie outsourcingu taký dobrý nápad nie je? Funkcie spojené s riadením informačnej bezpečnosti (governance), riadením rizík a zabezpečením súladu predstavujú kľúčové procesy v informačnej bezpečnosti. Je preto na mieste mať tieto procesy pod kontrolou. Vo všeobecnosti možno povedať, že outsourcovanie zlyháva v tých oblastiach informačnej bezpečnosti, kde nie je možné monitorovať a merať efektivitu outsourcovaných činností, ale aj v prípadoch, kedy sú citlivé dáta spracúvané mimo kontroly organizácie, a hlavne keď jediným cieľom outsourcingu je šetrenie finančných prostriedkov – často na úkor kvality poskytovaných služieb.
K jedným z najzávažnejších rizík outsourcingu bezpečnosti patrí umožnenie prístupu k interným či citlivým informáciám dodávateľovi. V takejto situácii je potrebné s dodávateľom uzavrieť dohodu o mlčanlivosti, tzv. NDA (non-disclosure agreement), ktorá zabráni dodávateľovi používať informácie iným spôsobom ako je dohodnuté. V prípade úniku informácií môže organizácia spraviť už len málo. Je preto potrebné posúdiť hodnotu informácií, ku ktorým má dodávateľ mať prístup, a do NDA zahrnúť aj adekvátne vysoké pokuty za porušenie tejto dohody.
Návody ku jednotlivým službám štátneho IT môžeš odteraz využívať aj prostredníctvom mobilnej aplikácie.
