Vad gör du för att din outsourcade information inte skall komma i fel händer?

Hur säkerställer du att din outsourcingpartner har förutsättningar för att hjälpa dig att efterleva personuppgiftslagen och i framtiden också dataskyddsförordningen eller annan lagstiftning, avtal eller verksamhetskrav som ställs på din information? 

I besparingstider är det lockande för de flesta organisationer att försöka spara pengar genom att outsourca delar av sin IT-verksamhet eller köpa IT-tjänster.  Detta kan fungera utmärkt under vissa förutsättningar. (Vilket är viktigt att betona eftersom vissa i media får det att låta som att allt som har med molnet att göra är osäkert.) Emellanåt ser vi dock problem i samband med den utlagda IT-verksamheten, t ex Tietos tillgänglighetsproblem i november 2011 och intrånget hos CGI (dåvarande Logica) som ledde till att information kom i felaktiga händer och resulterade i gissningsvis stora kostnader för samtliga inblandade. 

I efterdyningarna av diverse hackingattacker och intrång där bland annat personuppgifter har kommit på avvägar, koncept som privacy by design och det lagförslag Europakommissionen presenterade i januari 2012 (dataskyddsförordningen) kan man kanske inte låta bli att fråga sig vilka utmaningar vi står inför?

Om förslaget till dataskyddsförordning antas kommer den helt och hållet att ersätta den nuvarande personuppgiftslagen. Lagstiftningsarbetet bedöms kunna vara klart tidigast 2014, vilket skulle kunna innebära att dataskyddsförordningen, om den antas, tidigast kan träda i kraft 2016. Men som vi alla vet – tiden går fort när man har roligt! Det nya förslaget innehåller många och stora förändringar, se sammanfattning här: Sammanfattning av förslag till dataskyddsdirektiv

Sammanfattningsvis kan konstateras att utmaningar i form av ökade krav (legala, externa och interna), förändrad hotbild, komplexa IT-miljöer och besparingskrav utgör en utmanande arena för de flesta organisationer.

Förbered din organisation.

Systematiskt angreppssätt
Vad kan och bör göras för att leva upp till alla dessa krav utan att ta alltför stora risker?  Om outsourcing eller köp av molntjänst är ett möjligt alternativ rekommenderas starkt ett systematiskt arbetssätt som kan tillämpas nu och i framtiden. Delar av en sådan process är kanske mer kopplade till IT-styrning (governance) och IT-strategier (t ex förflyttningen från traditionell IT-organisation till beställarorganisation) än till säkerhet, men säkerheten bör definitivt vara en integrerad del för att kunna säkerställa konfidentialitet, riktighet och tillgänglighet.

Information
Om jag inte vet vilken information jag har eller vilka legala, externa och interna krav som är kopplade till informationen blir många beslut rena gissningar. Beroende på om det är personuppgiftdata, känsliga företagshemligheter eller mer öppen information så följer kraven och därefter svaret på om informationen bör placeras externt? Kan informationen lagras var som helst i världen? Om informationen läggs ut kan den vid ett senare tillfälle tas tillbaka? Vad gäller idag och vad förväntas den närmaste tiden (t ex under en avtalsperiod)?

Risker
Lägg lite tid på att analysera vilka risker som föreligger i en outsourcing-situation eller vid köp av molntjänster samt vilka åtgärder som kan vidtas för att eventuellt minska dessa risker.  Det finns många metoder och modeller för riskhantering som är komplexa och tidskrävande.  Men min erfarenhet pekar entydigt på att en pragmatisk och enkel metod som kan användas regelbundet och förfinas över tiden är det bästa sättet att göra en förflyttning från att vara omedveten om sina risker till att kunna fatta riskbaserade beslut.

Krav
Krav på information- och IT-säkerhet blir extremt viktiga komponenter i samband med outsourcing. Lägg ned det arbete som behövs för att kartlägga och dokumentera vilka krav som bör ställas om informationen ska placeras externt. Vid köp av molntjänst är det ofta inte aktuellt att ställa krav direkt mot leverantören av molntjänsten eftersom tjänsten oftast säljs i ”befintligt skick”. Däremot kan kravställningen vara extremt användbar i urvalet av leverantör och molntjänst.

Uppföljning
Genom att följa upp sin kravställning kan man säkerställa rätt säkerhetsnivå över tiden. Uppföljningen kan ske genom olika former av egenkontroll (self assessment) eller granskningar i form av mer formell IT-revision. Det är därför viktigt att i kravställningen ta höjd för vilken typ av uppföljning som är viktig.

Integrera mera!

Integrera säkerhet i upphandlingsprocessen
Att köpa något så komplext som outsourcad IT eller att placera information i molnet utan att tänka igenom vad som egentligen ska uppnås och vilka krav som finns kopplade till informationen blir väldigt sällan lyckat.
Som Myndigheten för samhällsskydd och beredskap (MSB) nämner i sin Vägledning – informationssäkerhet i upphandling är det viktigt att styra upphandlingsprocessen så att den levererade tjänsten kan upprätthålla kraven på att informationen ska vara skyddad hos leverantören.
Något som är minst lika viktigt som informationsklassificering, riskhantering och krav är den kontroll som måste göras av att kraven efterlevs, det vill säga någon form av compliance-kontroll eller revision. Utan denna typ av uppföljning är det svårt eller kanske omöjligt att efterleva kraven över en längre tidsperiod (i detta fall avtalsperioden).
Genom att integrera säkerhet i upphandlingsprocessen likväl som övriga IT-processer, kan outsourcing och köp av molntjänster genomföras på ett mer säkert och medvetet sätt.

Förvaltning av metoder och modeller
Hur säkerställer jag att nya legala krav tas om hand i min outsourcade IT-verksamhet? Hur vet jag att min riskhantering tar hänsyn till den aktuella hotbilden? Hur vet jag att verksamhetens krav verkligen analyseras och dokumenteras i samband med övergången till Microsofts molntjänster nästa år? Hur vet jag att mina IT-system lever upp till privacy by design?
En av de allra viktigaste lärdomarna tycker jag är att styra och förvalta sina säkerhetsmetoder och - modeller. Det enda jag kan vara helt säker på är att allt kommer att förändras: Omvärlden, min organisation, kravbilden, hotbilden, osv. Att arbeta strukturerat med styrning (governance) förvaltning och ständiga förbättringar inom säkerhetsområdet är därför helt nödvändigt.

Erfarenheter & slutsatser
Mina erfarenheter är att de flesta organisationer tror att de kan spara pengar genom outsourcing av delar av sin IT-verksamhet och köp av molntjänster, men att besvikelsen ofta är stor något år senare. De vanligaste orsakerna har hittills varit:
1. Inga eller väldigt få krav ställs avseende säkerhet (oftast för att man inte har ett angreppssätt och därför inte vet hur man ska börja).
2. Säkerhet missas helt då det inte finns som en naturlig del i upphandlingsprocessen.
3. Om säkerhetskrav ändå ställts så följs de inte upp förrän en allvarlig incident inträffat (reaktivt arbetssätt), vilket ofta leder till mycket stora kostnader.

De organisationer som börjat arbeta mer systematiskt och proaktivt blir också mer nöjda med effekten de får ut av sin outsourcing och sina molntjänster. Att arbeta med olika typer av mätning av säkerheten är förstås det mest tillförlitliga sättet. Egenkontroll och IT-revision är kanske det enklaste sättet att mäta och se trender, men även KPI:er (key performance indicator) i säkerhetsprocesserna rekommenderas.

Avslutningsvis summerar jag mina slutsatser i sex steg för att börja arbeta strukturerat och långsiktigt:

• Systematiskt angreppssätt för att säkra outsourcing och köp av molntjänster
1. Informationsklassificering
2. Riskhantering
3. Kravställning
4. Uppföljning

• Styr och förvalta det arbetssätt du valt!
5. Governance (regelverk, rapportering, mätning, etc.)
6. Förvaltningsmodell

// Annika Biberg
Informationssäkerhetskonsult på SAFESIDE SOLUTION AB