Hva må vurderes før du kan tenke på å tjenesteutsette IKT?
av Lars Strand
Innlegget var publisert i Finansavisen 9. juli 2018.
«Kan vi tjenesteutsette vår IKT-tjeneste til land X?» er et spørsmål vi i NSM har fått varianter av i det siste. Det er forståelig. Flere nyhetssaker om tjenesteutsetting av IKT-tjenester til utlandet har i ettertid fått store konsekvenser for noen av de sentrale beslutningstakerne. Dette har skapt usikkerhet knyttet til tjenesteutsetting, og kanskje spesifikt til enkelte lavkostland. Flere sitter på gjerdet og avventer hva de skal gjøre. Noen er bekymret for om deres tjenesteutsetting også kan havne i medias søkelys.
Vi i NSM er bekymret for om tjenesteutsetting er gjort på mangelfulle verdi- og risikovurderinger. Er det kun vurdert økonomisk risiko og risiko ved gjennomføring av selve tjenesteutsettingen? Ofte så ser vi det. Hvis du ønsker å tjenesteutsette hele eller deler av din IKT-portefølje til utlandet bør også en rekke forhold ved vertslandet vurderes fordi disse kan påvirke sikkerhetsrisikoen. Det er spesielt fire forhold som bør vurderes:
Det første og viktigste er hva vi kaller statlige styringsindikatorer. Kontrakten som inngås ved en tjenesteutsetting vil normalt ha en varighet over flere år. Det er derfor viktig å ha en indikasjon på hvordan landets styresett utøves og forvaltes med tanke på fremtidig utvikling. Det vil også gi en indikasjon på tilliten til rammebetingelsene en virksomhet i landet opererer under.
Det andre er cybersikkerhetstilstanden i landet. Hva kan vi si om hvilke sikringsmekanismer vertslandet har etablert både organisatorisk og teknisk for å håndtere tilsiktede og utilsiktede hendelser? Som eksempel kan en stille spørsmålet om hvordan vertslandet vil håndtere et større cyberangrep mot en virksomhet, en sektor eller nasjonen.
Det tredje er IKT-infrastruktur og kompetanse, og skal gi en indikasjon på grad av utbygde nasjonale IKT-tjenester som er nødvendig for at landet kan tilby en tilstrekkelig stabil og robust IKT-infrastruktur. I tillegg er det nødvendig at landet kan vise tilstrekkelig tilgang på kompetanse innen IKT.
Det siste som bør vurderes er forretningsstabiliteten i landet. Her ønsker vi å gi en indikasjon på i hvor stor grad privat næringsliv i landet har råderett uten statlig innblanding og statlige føringer. Hvor «enkelt» er det å drive privat virksomhet i landet?
I sum vil disse temaene gi en indikasjon og overordnet vurdering av det enkelte land. Men vi må understreke at landvurdering er bare én liten del av hva du bør tenke på ved tjenesteutsetting. Så tilbake til spørsmålet om man kan tjenesteutsette til land X? Her må jeg svare et bestemt «Tja, det kommer an på. Hva er det du skal tjenesteutsette og hva har du gjort av for- og grunnarbeid?»
Oppdatert 11.10.2018
NSM har nå også publisert temarapporten "Anbefaling om landvurdering ved tjenesteutsetting".
Hensikten med temarapporten er å øke bevisstheten om hvordan tjenesteutsetting til utlandet kan påvirke en virksomhets risikobilde. Rapporten beskriver et sett med kriterier NSM anbefaler å vurdere ved en tjenesteutsetting til utlandet. Vurderingen må inngå som en del av den totale risikovurderingen ved tjenesteutsetting.