Upphandling av säkra outsourcing- och molntjänster

I besparingstider är det lockande för de flesta organisationer att försöka spara pengar genom att outsourca delar av sin IT-verksamhet eller köpa IT-tjänster. Detta kan fungera utmärkt men även innebära en hel del oförutsägbara problem. Många minns Tietos tillgänglighetsproblem i november 2011 och intrånget hos CGI (dåvarande Logica) som ledde till att information kom i felaktiga händer med gissningsvis stora kostnader som påföljd.

För många företag har säkerhetsfrågorna blivit en bromskloss i de möjligheter som molntjänster faktiskt kan ge oss.  Företagsledningen vågar helt enkelt inte lägga ut sin information för att frågorna inte är tillräckligt utredda och vissa argument är baserade på gammal information eller rykten.

Frågor som kan vara svåra att besvara är om det går att efterleva personuppgiftslagen och i framtiden också dataskyddsförordningen eller annan lagstiftning med dagens eller morgondagens molntjänster.

Informationssäkerhetsföretaget SAFESIDE SOLUTIONS AB har, utifrån efterfrågan från deras kunder, anpassat sina metoder och modeller för att säkerställa hög kvalitet och korrekta resultat för de företag som vill outsourca IT-verksamhet eller som vill kunna köpa molntjänster.

Rätt metoder och processer gör det enklare att lyckas
Nyckeln i utmaningen är att hitta ett långsiktigt och systematiskt arbetssätt med enkla och beprövade metoder och modeller för att klassificera sin information, hantera sina risker, ställa krav och följa upp.

Annika Biberg på SAFESIDE SOLUTIONS berättar: ”De flesta organisationer har stora utmaningar med att få ihop den ökande kravbilden i samhället. Ökade krav på effektivitet och kostnadsbesparingar, förändrad hotbild, ny och gammal teknik i en komplex kombination och utöver allt detta införa och bibehålla rätt säkerhetsnivåer. Utmaningarna väntas inte minska i framtiden utan snarare tvärtom. Detta kräver ett systematiskt angreppssätt som är enkelt och användbart. Det har vi tagit fasta på i vårt arbete med att optimera våra modeller och metoder för att på bästa sätt tillgodose våra kunders behov av att outsourca IT-verksamhet eller som vill kunna köpa molntjänster på ett säkert sätt.”

Många organisationer tror att de kan spara pengar genom outsourcing av delar av sin IT-verksamhet och köp av molntjänster, men besvikelsen är ofta stor efter något år. De vanligaste orsakerna till att man misslyckats med att nå målet är:

1. Inga eller väldigt få krav ställs avseende säkerhet (oftast för att man inte har ett angreppssätt och därför inte vet hur man ska börja).
2. Säkerhet missas helt då det inte finns som en naturlig del i upphandlingsprocessen.
3. Om säkerhetskrav ändå ställts så följs de inte upp förrän en allvarlig incident inträffat (reaktivt arbetssätt), vilket ofta leder till mycket stora kostnader.

SAFESIDES metoder utgår från 6 grundsteg som måste tas när företag vill börja jobba långsiktigt och strukturerat med säker outsourcing och säkra molntjänster:

• Systematiskt angreppssätt för att säkra outsourcing och köp av molntjänster:

1. Informationsklassificering - värdera och prioritera verksamhetens information och dess tillgångar efter kraven på sekretess, riktighet och tillgänglighet. Detta görs för att all information ska få rätt skyddsnivå. För högt skydd blir onödligt dyrt men för lågt ökar risken för att känslig information kommer på avvägar och därmed också kostnader för incidenter.
2. Riskhantering – se till att verksamheten har en systematisk metod för att hantera risker. Riskhantering är ett viktigt komplement till informationsklassificering och ger underlag till rätt prioriteringar. Genom att hantera sina risker kan skadekostnader minimeras och skadeverkan från identifierade hot och sårbarheter reduceras.
3. Kravställning – ställ rätt krav på din leverantör. Sammanställ en kravlista som följer din modell för informationsklassificering. Då kan du jämföra olika leverantörers säkerhetsnivåer. Därefter kan verksamheten göra sin bedömning av risk och kostnad och därmed säkerställa att man väljer rätt leverantör utifrån behov.
4. Uppföljning – hitta en process för att säkerställa att avtalad säkerhetsnivå uppfylls. När det gäller traditionell outsourcing bör avtalet ta höjd för någon typ av uppföljning redan från början. Ett vanligt exempel är att IT-revision genomförs av tredje part. För molntjänster är det systematiska säkerhetsarbetet oftast underlag för att kunna välja eller senare byta molntjänst.

• Styr och förvalta det arbetssätt du valt:

5. Styrning (regelverk, rapportering, mätning, etc.) – dokumentera, besluta och kommunicera hur säkerheten kring outsourcing och molntjänster ska fungera. Följ upp, mät och rapportera.
6. Förvaltningsmodell – allt som tas fram eller som återanvänds i arbetet med att skapa säker outsourcing eller säker upphandling av molntjänster måste hållas uppdaterat och ständigt förbättras.

SAFESIDEs metoder och modeller följer MSBs (myndigheten för samhällsskydd och beredskap) ”Vägledning – informationssäkerhet i upphandling”, publicerad i april 2013.