Gennemsnitsvirksomheden - privat som offentlig - er ikke moden nok til at kaste sig ud i SaaS (software as a service) - herunder "moderne" outsourcing, ASP-løsninger og cloud-computing. Den har ikke tilstrækkelig viden om, hvilken reel og direkte betydning dens medarbejdere, processer, systemer og infrastruktur har for forretningen.
Derfor kender den ikke sin sårbarhed og er ude af stand til at opstille worst case-scenarier.
Som informations-sikkerhedsrådgiver ser jeg mange sikkerhedspolitikker og -retningslinjer, sikkerhedsfremmende initiativer samt kontrakter med blandt andre leverandører af outsourcing og ASP.
Derfor ved jeg, at alt for mange virksomheder ikke har tilstrækkelig opmærksomhed på sikkerheden for virksomhedens kritiske aktiviteter - eller det man kalder informationssikkerhed.
Når man overvejer at anvende SaaS og lignende, bør ledelsen starte med at stille sig disse spørgsmål:
"Kan vi - alt andet lige - påtage os ansvaret for at udsætte virksomhedens image for den sårbarhed, en fraskrivelse af direkte kontrol og uafhængighed indebærer? Kender vi omfanget samt den direkte og indirekte konsekvens for virksomhedens evne til at kunne drive sine kritiske forretningsaktiviteter uforstyrret?"
Hvis man ikke kender sine afhængigheder og sårbarheder, kan man ikke forholde sig aktivt til dem, acceptere dem og/eller mindske dem. Afhængigheder og sårbarheder kan ikke overdrages til en serviceleverandør. En overdragelse vil tværtimod kun øge ens afhængighed og sårbarhed.
"Bål og brand"-passager formuleret som bodskrav hjælper ikke, men er bare en juridisk pisk, i lighed med at en fiktiv besparelse er en akademisk gulerod.
Lige så stor som motivationen måtte være for at anvende serviceleverandører i relation til de forretningskritiske dele af virksomheden, lige så stor skal forarbejdet og indsatsen være på at udarbejde anvendelige og formålstjenlige kontrakter med sine leverandører ud fra virksomhedens reelle sårbarheder og afhængigheder.
Bagsiden af medaljen
Hvis man velovervejet vælger at anvende serviceleverandører til for eksempel it-drift og derved visse dele af virksomhedens forretningskritiske forudsætninger, så er det vigtigt ikke at sammenligne SaaS med traditionel, "gammeldags" outsourcing.
I traditionel outsourcing består kæden generelt af en kunde, en serviceleverandør og en til to produktleverandører. Ofte er hver enkelt kundes systemer og data isoleret fra andre af serviceleverandørens kunder, og udstyret er fysisk placeret inden for serviceleverandørens domæne - eller kundens eget.
Bagsiden af medaljen, når vi taler om SaaS og lignende, er, at alle disse forhold per definition er ophævet.
Det skærper kun betydningen af, at virksomheden har en afklaret og velfunderet forståelse og indsigt i virksomhedens kritiske forudsætninger for at drive sin forretning og levere sine ydelser. Uanset om det er en privat eller offentlig virksomhed.
Når virksomheden overvejer at anvende SaaS og lignende, bør beslutningen ske ud fra en sidestillet vurdering af de estimerede økonomiske besparelser og en opdateret risikoprofil af virksomhedens sårbarhed.
Begge aspekter skal fylde ligeligt i den endelig vurdering og beslutning. Også selvom det kunne resultere i, at ledelsen beslutter, at SaaS og lignende er uforsvarligt af hensyn til forretningens sikkerhed, uagtet det kunne vise sig at være økonomisk rentabelt.
Niels Madelung er projektchef hos Dansk Standard. Han er certificeret informationssikkerhedsleder (CISM) og en af redaktørerne af revisionen af ISO/IEC-standarden 27002.
Computerworlds klummer er ikke nødvendigvis udtryk for Computerworlds holdninger, men er alene udtryk for skribentens holdninger.
