Na redakční otázky odpovídá Petr Nádeníček, IT Security Consultant, AEC, spol. s r.o.

1) Co všechno se dá v oblasti ICT bezpečnosti outsourcovat?

Nabídka služeb v oblasti „outsourcingu bezpečnosti“ je na našem trhu na první pohled poměrně široká. Většina větších i menších systémových integrátorů a dalších dodavatelů IT má ve svém portfoliu „něco“, čemu říká „outsourcing bezpečnosti“ či podobně. Při podrobnějším prostudování nabízených služeb ale v drtivé většině případů vyvstává otázka, jestli se opravdu jedná o plnohodnotný outsourcing bezpečnosti nebo jenom o outsourcing správy bezpečnostních nástrojů, aplikací apod.

Pod plnohodnotným outsourcingem bezpečnosti bych si totiž představoval zcela komplexní pokrytí většiny bezpečnostních potřeb organizace, jak v oblasti technické bezpečnosti (zabezpečení síťového perimetru pomocí firewallů, antivirů, antispamů, IDS/IPS, VPN apod.), tak i v oblasti organizačně procesního zabezpečení (návrh a údržba bezpečnostních politik, dohled nad dodržováním pravidel, kontinuální audity bezpečnosti apod.). V tom, co se v současnosti nabízí na trhu pod názvy evokující „outsourcing bezpečnosti“, vidím spíše služby z oblasti technického zabezpečení, kdy se dodavatel stará o konkrétní bezpečnostní prvky, nejčastěji na úrovni perimetru sítě. Osobně bych od outsourcingu bezpečnosti očekával spíše alespoň částečné pokrytí role bezpečnostního správce organizace a další metodické vedení v této oblasti.

2) Na co si dát při outsourcování ICT bezpečnosti / celkové ICT pozor?

Asi to bude znít poměrně legračně, ale při outsourcingu bezpečnosti bychom si měli dávat asi největší pozor na bezpečnost samotnou. Vždy, když si do organizace „pouštíme“ nějaký cizí element, musíme důsledně zvážit, k jakým informacím se tento dostane a co z toho pro organizaci vyplývá. Zcela na místě je zde provedení alespoň hrubé analýzy rizik, která z outsourcingu vyplývají.

Další oblastí, na kterou bychom si měli dát obzvláště pozor, je nastavení procesů (fungování outsourcingu) a komunikačních kanálů. Fungování jednotlivých procesů v rámci outsourcingu by mělo být pokud možno přesně popsáno (kdo, kdy, jak, jaké informace musí předat, do jaké lhůty musí dodavatel zahájit řešení problému, jak často má dodavatel danou činnost provádět apod.). U složitějších případů jsou vhodným nástrojem pro nastavení outsourcingu bezpečnosti SLA smlouvy.

3) Nevzniká při outsourcingu ICT bezpečnosti / celkové ICT riziko závislosti na dodavateli?

Vytvoření závislosti organizace na dodavateli je u outsourcingu obecně jeden z hlavních potenciálních problémů. Obecně platí, že je třeba hlídat celkovou míru outsourcingu a držet se takříkajíc v „ rozumných hranicích“. Zkuste si např. představit, jak byste na tom byli, pokud by váš dodavatel z ničeho nic zmizel. Pokud by vás okamžitě napadla spousta potenciálních problémů nebo i obyčejných provozních stavů, které byste nedokázali bez svého dodavatele vyřešit, může to být známka nezdravé závislosti. Hodně zde záleží na míře důvěry mezi organizací a dodavatelem – co všechno organizace dodavateli dovolí a k jakým informacím a systémům mu umožní přístup.

V oblasti bezpečnosti by se také mělo ve zvýšené míře dbát na dostatečný dohled nad činností pracovníků dodavatele, nejčastěji se používá vhodně nastavené logování v rámci systémů organizace s jeho následnou periodickou kontrolou. Pokud je předmětem outsourcingu např. firewall, nesmíme také zapomínat na věci, jako je třeba možnost kontroly nastavených pravidel nebo možnost přístupu k nastavení (vlastní administrátorský účet, přístupové údaje v trezoru apod.).

4) Jak rozlišíme dobrého a špatného dodavatele v oblasti outsourcingu?

Na první kontakt ho poznáte určitě dost špatně. Jak jsem se už zmínil, u outsourcingu bezpečnosti je, více než u outsourcingu jiných služeb v rámci informačního systému, potřebná velká míra vzájemné důvěry mezi zákazníkem a dodavatelem. Je logické, že si do organizace nepustíme dodavatele, o jehož schopnostech nemáme dostatečné informace.

Pokud uvažujete o tom, že s někým navážete hlubší a dlouhodobou spolupráci v oblasti bezpečnosti, svěřte mu nejprve nějaký menší dílčí projekt, na kterém si ho vyzkoušíte. Měli byste si při tom všímat, jakým způsobem dodavatel projekt realizuje (projektový přístup, odborné schopnosti, komunikace, iniciativa apod.) a také jaká je kvalita výstupů. Důležité je, aby se dodavatel seznámil s prostředím organizace a pochopil její fungování.

Při výběru dodavatele určitě nejsou k zahození ani reference, zejména ty pocházející z vám osobně známých zdrojů.

5) Jak data a informace týkající se podnikání chránit v případě outsourcingu? Co outsourcingová firma vědět nepotřebuje?

Základním způsobem ochrany organizace by mělo být důkladné smluvní ošetření z hlediska ochrany informací (povinnost mlčenlivosti dodavatele a všech jeho pracovníků). Mj. jde o přenesení odpovědnosti na dodavatele, který si musí uvědomit, že ručí za své pracovníky. V praxi je ale zřejmé, že využití jenom právní ochrany pravděpodobně nebude dostatečné a musíme svoje know-how chránit také nějakými „skutečnými“ nástroji.

Jeden ze způsobů jak svoje informace ochránit je, že outsourcing využíváme pouze v těch oblastech informačního systému, kde se nevyskytují. Typickým příkladem je outsourcing bezpečnosti na úrovni síťového perimetru. Pokud ale dodavatele pouštíme dovnitř informačního systému, musíme s tím počítat a důsledně ošetřit zejména řízení přístupu na úrovni vnitřní sítě, případně použít další nástroje pro ochranu informací na úrovni jednotlivých dokumentů (např. pomocí šifrování).

Bezpečnostní management | Lidský faktor | Management citlivých dat | Outsourcing