Sikkerhetsfaglige anbefalinger ved tjenesteutsetting
Gode risikovurderinger for å kunne ta riktig beslutning
En beslutning om tjenesteutsetting bør tas basert på risikovurderinger som beskriver de faktiske risikoene tjenesteutsettingen medfører. NSMs erfaringer tilsier at det i altfor stor grad er et primærfokus på kostnader og at det kun vurderes økonomisk risiko eller risiko ved gjennomføring av selve tjenesteutsettingen (prosjektrisiko).
NSM anbefaler å tydeliggjøre hva en risikovurdering som omhandler en tjenesteutsetting av IKT-tjenester skal inneholde og at hele livsløpet til tjenesteutsettingen risikovurderes.
Eksempler på faktorer som vil kunne påvirke risikobildet er redusert kontroll på stadig mer komplekse verdikjeder, tap av intern kompetanse og avhengigheter til eksterne tjenesteleverandør for å kunne levere virksomhetens tjenester. Risikovurderingen bør også inkludere risiko knyttet til selve leverandøren, eksempelvis leveranseevne og muligheten til å vedlikeholde ønsket sikkerhetstilstand.
Utsetting av en eller flere tjenester vil endre konfigurasjonen og sammensetningen på virksomhetens IKT-portefølje og arkitektur. Tjenestene skal i de fleste tilfeller integreres i eksisterende infrastruktur og tjenesteportefølje. Tjenesteutsetting til en profesjonell aktør kan i mange tilfeller gi bedret sikkerhet, men nye sårbarheter kan også introduseres. Samtidig er virksomheten avhengig av at leverandøren iverksetter nødvendige kompenserende tiltak, noe som kan være utfordrende å kontrollere. En virksomhet som tjenesteutsetter må derfor ha et aktivt forhold til hvordan leverandøren iverksetter tiltak og reduserer risiko slik at risikovurderingene i egen virksomhet beskriver den faktiske risikoen virksomheten tar.
Eksempler på områder som bør risikovurderes er:
-
Geografisk og fysisk lokalisering av utstyr og driftspersonale.
-
Hvem som har innsyn i virksomhetens informasjon.
-
Hvor og hvordan informasjon behandles og lagres, samt hvordan informasjonen er adskilt fra andre kunder.
-
Tilgangsstyring, inkludert kryptering, aktivitetslogging og fysisk og logisk sikkerhet.
-
Rutiner for hendelseshåndtering og avviks- og sikkerhetsrapportering.
-
Krise- og beredskapsplaner som skal harmonisere med virksomhetens egne planer.
-
Bruk av underleverandører.
-
Fremtidige endringer i leverandøren og underleverandørers eierskapsstruktur.
-
Mulighet for terminering av kontrakten og overføring (transittering) av tjenester og data til ny leverandør.
Hvis tjenesten skal leveres fra utlandet, anbefaler NSM, i tillegg til å vurdere tjenestetilbyderen, å vurdere vertslandet der leverandøren har tilhold og hvor tjenesten tilbys fra. Nasjonale forhold kan påvirke en tjenesteleverandørs mulighet til å levere tjenester, eksempelvis gjennom kvaliteten på nasjonal infrastruktur eller nasjonal lovgivning som gir rett til innsyn i data lagret i vertslandet. Risikoen knyttet til vertslandet kan dermed gi avgjørende føringer på behovet for kompenserende sikringstiltak og hvilke tjenestetilbydere som bør vurderes. Landvurderingen bør inngå som en del av den totale risikovurderingen ved tjenesteutsettingen. NSM har utarbeidet en egen temarapport som beskriver en modell for å vurdere ulike lands egnethet for tjenesteutsetting. Virksomheten må også vurdere om andre relevante kriterier ved vertslandet skal vurderes. Eksempelvis kan forhold i transittland påvirke risiko.
Virksomheten må revidere risikoen knyttet til tjenesteutsettinger jevnlig og gjennom alle faser av tjenesteutsettingen. Risikobildet vil endres over tid slik at kompenserende tiltak som lå til grunn for risikoaksept ved kontraktsinngåelse ikke nødvendigvis er tilstrekkelig over tid. Eksempler på faktorer som kan påvirke risikobildet over tid kan være endringer i trusselbildet, økt avhengighet av IKT-tjenesten i det norske samfunnet, endringer i egen bestillerkompetanse, innsikt i nye teknologiske sårbarheter og nye opplysninger knyttet til vertslandet eller leverandøren som leverer tjenesten.