Dine data i andres hender – hva bør du tenke på?
av Lars Strand
Innlegget sto på trykk i Finansavisen 11. juni.
Å outsource - eller tjenesteutsette – hele eller deler av IKT-porteføljen er en økende trend hos både private og offentlige virksomheter. Tjenesteutsetting er ikke bare et viktig virkemiddel for digitaliseringen av samfunnet, men det er også en viktig driver for å fornye gamle IKT-systemer, gi lavere og forutsigbare kostnader og kjøpe seg ekspertkompetanse. Samtidig kan bruk av tjenesteutsetting gi bedre IKT-sikkerhet, men da forutsettes det at man har gjort et godt grunnarbeid. Så hva må du tenke på? Hvilket grunnarbeid må du ha utført? Her er fem sikkerhetsfaglige anbefalinger:
NSMs første anbefaling er å sørge for å ha oversikt og kontroll over tjenesteutsettingens livsløp, det vil si fra begynnelse til slutt. Livsløpet deler vi i fire faser (forberedende, anskaffelse, forvaltning og opphør), hvor hver fase har egne behov og krav som må følges opp. For eksempel er det ikke uvanlig at virksomheter glemmer å ha kontroll på opphør-fasen. Hva skjer med dine data når tjenestutsettingen opphører? Blir de forsvarlig slettet? Er du sikker?
Vår andre anbefaling handler om bestillerkompetanse. Har du ikke god bestillerkompetanse kan det føre til at virksomheten kjøper IKT-tjenester uten tilstrekkelig kartlegging av behov, og kan gi utfordringer med å stille gode krav til blant annet IKT-sikkerhet. Hva trenger du å ivareta gjennom livsløpet til tjenesteutsettingen, fra forberedende aktiviteter til opphør av avtalen?
Tredje anbefaling er å sørge for å ha gode risikovurderinger for å kunne ta riktig beslutning. Vår erfaring er at det i alt for stor grad legges vekt på kostnader og at det kun vurderes økonomisk risiko eller risiko ved prosjektgjennomføring av selve tjenesteutsettingen. Risikovurderinger skal omfatte hele tjenesteutsettingens livsløp.
Vår fjerde anbefaling er å stille riktige og gode krav til IKT-tjenesten og til tjenesteleverandør. For å stille gode krav må du kjenne din egen virksomhet og vite hvilke behov du har. Behovene må uttrykkes som krav som igjen må kunne måles og verifiseres. Husk at en tjenesteutsetting ikke blir bedre enn kravene, som ikke blir bedre enn din forståelse av behovet.
Vår femte og siste anbefaling er å treffe riktig beslutning på riktig nivå. Hva mener vi med det? Bortfall av en IKT-tjeneste vil ofte ha svært stor påvirkning på virksomheten. Tjenesteutsetting blir derfor en viktig strategisk beslutning og bør derfor ikke tas av virksomhetens IKT-miljø alene. Beslutning om tjenesteutsetting bør behandles og besluttes av virksomhetens øverste ledelse. For private virksomheter gjelder dette styret og for offentlige virksomheter bør beslutningen om tjenesteutsetting forankres hos overordnet fagdepartement.
Pass på at en tjenesteutsetting av IKT-tjenester ikke blir en sovepute for virksomheten. Husk at ditt foretak har det hele og fulle ansvar for egen virksomhet, dette gjelder også for tjenester som er satt ut til andre.