Spørgsmål om informationssikkerhed bliver ofte overset, når virksomheder overvejer outsourcing, mener rådgivningsvirksomheden KPMG.
Her vil man have flytte fokus fra alene at omfatte økonomi og service til i højere grad også at omfatte sikkerhedsspørgsmål.
Det sker med en opfordring til i højere grad at få afstemt sikkerhedsprocedurer og sikkerhedspolitik, før eksterne parter får adgang til virksomhedens kritiske processer og følsomme data om eksempelvis økonomi.
10 gode råd
Som en hjælp til virksomhederne KPMG nu samlet 10 råd om datasikkerhed ved outsourcing.
1. Involver den sikkerhedsansvarlige tidligt i processen.
2. Udarbejd periodisk en risikovurdering – brug den til at give leverandøren forståelsen af, hvad din forretning afhænger af.
3. Afpas sikringsforanstaltninger til risikovurderingen – skab balance mellem risiko, konsekvens og økonomi.
4. Indhent erklæring om efterlevelse af kontrakten, herunder sikkerhedskravene.
5. Brug energi på at operationalisere kontrakten for de medarbejdere, der er involveret både hos kunden og hos leverandøren – eksempelvis i form af driftshåndbøger og udviklingshåndbøger.
6. Vær opmærksom på tiden fra indgåelse af kontrakten frem til fuld leverance fra leverandøren. Der kan gå længere tid end først forudsat, ligesom man skal være opmærksom på, hvornår leverandørens ansvar træder i kraft og sikre, at dette er afstemt med leverandørens faktureringsgrundlag.
7. Hvis sikkerhed er vigtigt for forretningen, bør der også være aftalte servicemål for sikkerhed.
8. Stil krav om at systemdokumentation er tilgængelig og ajour for at undgå afhængighed af nøglepersoner og for at muliggøre en effektiv og uafhængig kontrol.
9. Aftal procedurer for håndtering af sikkerhedshændelser.
10. Aftal procedurer for ændringshåndtering uanset om de er initieret af kunden eller af leverandøren.
