Når man som virksomhed outsourcer en del af it-driften, er det vigtigt, at man sikrer sig, at leverandøren har et passende sikkerhedsniveau, så firmaets data er i sikre hænder.
Alligevel bliver sikkerheden omkring persondata, økonomiske data og andre fortrolige oplysninger ofte nedprioriteret, når en virksomhed står midt i den komplekse outsourcing-situation.
Det fortæller Annette Ramos, medlem af Dansk IT’s fagråd for It og Jura og jurist i KPMG, It-risk Management.
- Når man som virksomhed vælger at outsource, er man som minimum nødt til at sikre sig, at leverandøren lever op til ens egne sikkerhedsprocedurer om håndteringen af eksempelvis print, persondata og overvågning af systemerne, fortæller Annette Ramos.
Leverandøren skal forpligtes
Det kan ske ved at forpligte leverandøren til at overholde ens egen sikkerhedspolitik, eller undersøge om leverandørens egen politik lever op til ens eget niveau.
Hvis årsagen til, at firmaet outsourcer, er, at firmaet er lille og derfor ikke selv magter sikkerhedsopgaven, må det i kontrakten sikre sig, at det fremover kan få indsigt i leverandørens sikkerhedsprocedurer.
- Det kan nogle gange være lidt ømtåleligt for leverandøren. Men når man køber en ydelse, har man ret til at undersøge, om den er passende. Det er vigtigt for ens beslutningsgrundlag, siger Annette Ramos.
ISO-standard eller DS
Vil man være helt sikker på, at sikkerhedsniveauet hos en leverandør er i top, skal man ifølge Annette Ramos vælge en leverandør, som lever op til den internationale sikkerhedsstandard ISO 17799 eller den danske DS 484.
- Markedet i Danmark er ikke så modent, at man kan sige, at vi har mange leverandører, som lever op til standarderne, siger Annette Ramos.
Hun mener, at vi er på vej derhen, blandt andet fordi staten kræver, at alle offentlige organisationer fra 2007 skal leve op til DS484.
Kontrollér sikkerheden
Selvom en everandør siger, at den opfylder sikkerhedsstandarderne, er det som kunde vigtigt at kunne kontrollere, at leverandøren rent faktisk lever op til kravene.
Her kan man som virksomhed i kontrakten indsætte muligheden for at få en systemrevisions-erklæring, hvor en statsautoriseret revisor vurderer, om sikkerheden hos leverandøren er tilfredsstillende.
- Man får kun det, man beder om, og derfor skal det på forhånd med i kontrakten. Ellers er det for sent og kan give ekstra omkostninger, siger Annette Ramos.