Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 29. august 2003.
ind eller ud? Voksende sikkerhedstrusler og økonomisk pres på virksomhederne betyder, at markedet for outsourcing af it-sikkerhed er i vækst. Eksperterne advarer om faldgruber, når hjerteblodet lægges uden for huset.
Når budgetterne skrumper, og antallet af sikkerhedstrusler vokser, er outsourcing af it-sikkerhed en løsning, som et stadigt stigende antal virksomheder kigger på med interesse.
Analysehuset Forrester forudser, at det europæiske marked for outsourcet sikkerhed vil kunne præsentere en gennemsnitlig årlig vækst på 37 procent over de næste fem år og i 2008 have en værdi på 4,6 milliarder euro.
Det er en bred vifte af sikkerhedstjenester, som virksomhederne kan vælge imellem. Fra en fuld løsning, hvor leverandøren overtager, drifter og udvikler al sikkerhedsinfrastruktur, til de mere operationelle aspekter som overtagelse af firewall, intrusion detection-systemer, sårbarhedsanalyser, netværksovervågning, spam og antivirus-scanninger.
Det svære valg
Viften af tilbud er bred, og beslutningen om, hvad og hvor meget der skal outsources, svær. Sikkerhed er blevet et centralt aspekt for virksomheden, og såvel kunder som investorer forventer, at det har virksomhedens fulde opmærksomhed. Derfor advarer chefen for den danske afdeling af sikkerhedsorganisationen CERT, Preben Andersen, også imod at oursource alt.
- Den største faldgrube ved outsourcing er, at folk forsøger at outsource det endelige ansvar. Det der med at lægge alting ud af huset og så tro, at den hellige grav er vel forvaret, det kan man ikke. Du er nødt til at taget ansvaret for din virksomhedssikkerhed og tage det ansvar alvorligt.
Han bakkes op af konsulent inden for outsourcing Bent Andersen fra P.A Consulting Group.
- Vi ser ikke nogen trend inden for omfattende outsourcing af sikkerhed, og det er fornuftigt af virksomhederne. Når vi taler sikkerhed, taler vi om noget for virksomhederne meget ømtåleligt. Et er at lægge mindre funktioner som konstatering af sikkerhedsbrud ud. Men at designe en sikker infrastruktur og have ansvaret for, at sikkerhedsniveauet er i orden, er opgaver, der bør holdes inden for virksomhedens fire vægge, og det er indtil nu også det billede, vi ser, siger han.
Penge
Argumenterne for outsourcing er klare og veldefinerede. De fleste virksomheder forventer en økonomisk besparelse, og at selskabets medarbejder-ressourcer kan frigives. Resultaterne af et indgået outsourcing-partnerskab er dog væsentlig mere forplumrede, og en undersøgelse fra Gartner Group viser, at over halvdelen af de virksomheder, der indgår outsourcing-aftaler, ender med at være utilfredse. En af faldgruberne er, at forventningen om de store besparelser ikke altid bliver indfriet.
Peter Vestergaard er teknisk chef hos sikkerhedsselskabet Protego, der blandt andet tilbyder sikkerhedsanalyser.
- Folk, der forventer enorme besparelser, har en tendens til at blive skuffede. Samtidig skal man se sig godt for, hvis man ikke ved, hvad man har med at gøre. Det kan hurtigt blive dyrere end forventet. Virksomhederne bør lade en ansat med kompetence forestå forhandlingerne med leverandøren, og det er ikke nødvendigvis økonomichefen, siger Peter Vestergaard og fortæller om en sag, hvor et selskab betalte 50.000 kroner om måneden for overvågningen af en firewall.
Også chefkonsulent Preben Andersen, Uni-C og leder af DK-CERT anbefaler kraftigt, at virksomheden beholder en del kompetence i virksomheden i en outsourcing-proces.
- Du skal kunne vurdere de udspil, du får fra din samarbejdspartner, ellers er du prisgivet i hænderne på leverandøren. Der skal være minimum en kompetent medarbejder tilbage i virksomheden til at føre en dialog. Leverandøren vil typisk også have en række spørgsmål til virksomheden, der helst skal kunne svare andet end: "Øh?" Uden kompetence i virksomheden bliver det svært at vurdere, hvem der står med det endelige ansvar, hvis noget går galt, siger han.
Kræv bevis
Historien er fyldt med eksempler på, at det kan være en dårligt satsning at gå ud fra, at sikkerheden hos en given leverandør er i orden. Blandt andet har webhotel-branchen fået et uldent ry for flere gange at være blevet løbet over ende af hackere og deres kunders websites angrebet som følge.
Hvis beslutningen om outsourcing af sikkerhed er faldet på plads, er spørgsmålet derfor, hvem virksomheden skal vælge til at varetage opgaven. Der findes en række selskaber på det danske marked fra de store altfavnende drift- og serviceselskaber som CSC til de mindre og specialiserede virksomheder som Dubex og eSec.
- Man bør ikke slå sig til tåls med, at det med sikkerheden hos leverandøren - det går nok. Det har vi set mange eksempler på, blandt andet hos webhoteller, at det gør det ikke altid, siger Preben Andersen.
Selvom et samarbejde ifølge ham er et spørgsmål om tillid, må og skal virksomhederne samtidig gøre deres hjemmearbejde og kræve bevis for sikkerheden.
- Du skal stille din leverandør de samme spørgsmål, som du har stillet dig selv i din sikkerhedspolitik. Derfor bør virksomheden ikke forsøge at slippe uden om at lave en sådan politik via outsourcing. Du skal kræve at have adgang til dine systemer og at få garantier i forbindelse med oppetid og så videre.
- Det vigtigste er imidlertid at sørge for, at de svar, du får fra leverandøren, holder vand. Leverandøren bør have uvildig dokumentation for sikkerheden liggende. Det kan blandt andet være en rapport fra en it-revision. Selv om en revision ikke kan gennemgå alt, stiller de ofte de rigtige spørgsmål, og virksomhederne er forpligtede til at svare sandt, siger han.
Citat:
Over halvdelen af de virksomheder, der outsourcer it-sikkerhed, ender med at være utilfredse.
Gartner Group
Boks:
Fem gode råd om outsourcing af sikkerhed fra CERT
¥ Sæt dig nøje ind i det produkt, der bliver tilbudt.
¥ Kræv at leverandøren kommer med uafhængig dokumentation for sikkerhed.
¥ Virksomheden skal bevare og fortsat udvikle en it-sikkerhedspolitik.
¥ Der skal fortsat være medarbejdere i huset med den it-sikkerhedsmæssige kompetence til at føre en dialog med outsourcing-leverandøren.
¥ Inddrag et revisionsselskab og få vurderet, om der overhovedet er økonomisk bund i overvejelserne om at outsource it-sikkerhed.
Citat:
Man bør ikke slå sig til tåls med, at det med sikkerheden hos leverandøren - det går nok.
Chefkonsulent Preben Andersen, Uni-C leder af DK-CERT
