Autor: Vojtěch Bednář, externí redaktor ICTsecurity

V dobách všeobecného snižování nákladů mnoho firem sází na outsourcing. Z hlediska informačních technologií toho lze externím dodavatelům svěřit hodně, jak je to ale s bezpečností? Můžeme věřit tomu, že se někdo postará o bezpečnost našich informací?

Problematikou informační bezpečnosti se více nebo méně musí zabývat prakticky všechny organizace, které používají informační technologie. Tedy prakticky všechny organizace, od drobných podnikatelů po nadnárodní společnosti a samozřejmě úřady a veřejná správa. Rozsáhlost a složitost informační infrastruktury však významně ovlivňuje to, jak intenzivně se bezpečností systémů a dat organizace zabývá. Zatímco u nejmenších organizací většinou bezpečnost zajišťuje tentýž pracovník, který zodpovídá za vše ostatní z branže IT, u největších je oddělení bezpečnosti se svými manažery samostatnou složkou v rámci IT divize firmy. U firem „mezi“ nejmenšími a největšími pak najdeme mnoho různých přístupů, které jsou vzhledem k oběma zde uvedeným krajnostem kompromisními.

Zajišťování bezpečnosti IT dodavatelským způsobem přichází nejčastěji v úvahu tam, kde můžeme najít jeden ze dvou základních znaků. Buďto je formou outsourcingu realizován kompletní provoz informačních technologií, od investičních akcí po řešení běžných potíží, nebo je pro bezpečnost ve firmě vyhrazena celá organizační jednotka, či nejméně pracovník. V prvním případě je outsourcing bezpečnosti respektive to, že se externí dodavatel postará o zajištění systémů přirozenou součástí rozsáhlého kontraktu - jednou z jeho mnoha položek. Organizace, která své IT outsourcuje většinou nerozlišuje mezi provozem a bezpečností svých systémů. „Bezpečnostní“ položka je sice bodem smlouvy mezi organizací a poskytovatel služeb, smlouva však není uzavírána explicitně kvůli tomu.

Ve druhém z uvedených případů je outsourcing bezpečnosti samostatnou službou, a tedy z pohledu zákazníka něčím poptávaným a požadovaným specificky. Zajištění bezpečnosti není „schováno“ mezi jinými (primárními) službami, ale je samo o sobě primární službou, hlavním, často jediným předmětem vztahu mezi dodavatelem a odběratelem.

Vztahy v outsourcingu jistot

Takřka každý, kdo se nad tím problémem zamyslí, intuitivně tuší, že mezi outsourcingem prakticky libovolné jiné služby a bezpečnosti (i té počítačové) existuje určitý rozdíl. Přesunutí zabezpečení IT infrastruktury na cizího dodavatele je současně svěřením se do jeho rukou v kritické oblasti, která může mít obrovský vliv na chod celé organizace. V rukou dodavatele se nacházejí citlivá a pro firmu potenciálně nebezpečná data. Dodavatel se kromě toho ocitá v pozici „dveřníka“, který má zajistit integritu systémů, jejich funkci a to, že zatímco chráněné informace a dokumenty zůstanou pouze a jedině tam, kde si to firma přeje, potenciální útočníci budou na opačné straně virtuálního prostoru a nikde jinde. Firma tak nepožaduje po dodavateli „obyčejnou“ službu. Poptává (a platí) něco daleko důležitějšího. Svou jistotu.

V prvním z výše uvedených případů, totiž u „kompletního outsourcingu“ si zákazníci obvykle neuvědomují význam bezpečnosti. Jsou to malé organizace, které své IT svěřují do rukou specializovaných firem poskytujících „kompletní produkt“. Protože zabezpečení je jeho součástí, zákazník je vnímá obvykle jako relativně nedůležitou část služby či jako něco, co je její „samozřejmou“ součástí. Důvěřuje-li dodavateli v ostatních oblastech, nemá důvod vydělovat bezpečnost jako něco samostatného.

Mnohem složitější je situace ve druhém případě, tedy, je-li bezpečnost samostatnou službou. Zajištění IT infrastruktury vnějším dodavatelem totiž může být realizováno víceméně ze dvou důvodů. Prvním z nich je snaha o co nejvyšší úroveň zabezpečení informací. Druhým snaha o snižování nákladů. Reálně nacházíme řadu kompromisů mezi oběma důvody, takřka vždy ale jeden z nich nakonec převáží.

V případě, že je zabezpečení zajišťováno vnějším dodavatelem z prvního důvodu, pak poskytovatel služby prakticky nikdy není jediným, kdo se ve firmě o bezpečnost stará. Poskytovatel se nachází v pozici externího experta – odborníka, který má za úkol zajistit co nejvyšší úroveň zabezpečení informační infrastruktury. Při své práci ale spolupracuje s oddělením, které je ke stejnému účelu zřízeno v rámci samotné organizace. Přítomnost externího odborníka posiluje bezpečnost organizace, avšak zodpovědnost za ni leží na bedrech vnitřní složky. Tento stav usnadňuje vybudování vztahu důvěry mezi poskytovatelem zabezpečení a organizací. Vnitřní složka se stejným úkolem se z pohledu organizace stává jednak prostředníkem, jednak kontrolním orgánem, jednak tím, kdo je za zajištění systémů formálně zodpovědným. Daná konfigurace usnadňuje práci jak samotné organizaci, tak poskytovatelům zabezpečení, avšak nešetří prostředky.

V případě outsourcování bezpečnosti jako samostatné služby z důvodů snahy o úsporu financí či vnitřních zdrojů ve firmě podobný styčný uzel chybí – s poskytovatelem služby totiž komunikuje složka, pro niž není bezpečnost jediným úkolem, ale tato komunikace je jedním z úkolů. V důsledku toho je nutné vztah s poskytovatelem bezpečnosti maximálně formalizovat (aby byly jasně a vymahatelně vymezeny kompetence a zodpovědnost), ale i potom se tento vztah z nemalé části skládá ze „slepé“ důvěry zákazníka ve fundovanost a v spolehlivost poskytovatele služeb. Tato důvěra, na níž není nic špatného, protože stejně důvěřujeme lékařům, se může zhodnotit, ale stejně dobře i vymstít. A co hůře, pokud dodavateli firma nedůvěřuje zcela, pak snižuje pozitivní efekt outsourcovaného zabezpečení i v tom případě, že dodavatel pracuje zcela bezchybně.

Budování jistot

Zabezpečení lze svěřovat cizím dodavatelům prakticky pouze jako komplexní produkt. Pokud se rozhodneme pro například implementaci a údržbu firewallu, nebo jiného podobného systému cizím dodavatelem s tím, že za ostatní prvky zabezpečení zodpovídá organizace samotná (případně jiní dodavatelé) vystavujeme se riziku pramenícímu ze špatné vzájemné komunikace různých organizací a tudíž i komponent IT – s negativními důsledky na to, co jsme původně chtěli zlepšit. Také je poměrně obtížné nastavovat poskytovateli zabezpečení přístupová práva. Zajištění bezpečnosti je velice komplexním procesem, který zahrnuje práci na různých úrovních informační infrastruktury. Přitom bohužel platí, že výsledky tohoto procesu se velmi špatně objektivně měří.

Jak tedy benefitovat z outsourcingu bezpečnosti jako komplexního, uzavřeného a jasně definovaného produktu? V prvé řadě bychom si měli uvědomit, že na rozdíl od mnoha jiných služeb se nejedná o obchodní dodavatelsko-odběratelský případ, ale o dlouhodobý vztah organizací, které jsou ve skutečnosti spolupracujícími partnery.

Rozhodne-li se organizace, že je pro ni vhodné, a výhodné zajišťování zabezpečení informační infrastruktury formou kontraktu s vnějším dodavatelem, měli by si její představitelé uvědomit, že se vybranému subjektu svěřují zcela a na delší dobu. Čím větší pečlivost bude věnována výběru dodavatele, tím lepší budou nejenom jeho výsledky, ale tím vyšší bude i jistota, že organizace vybrala správně. Velký význam v budování důvěry mají reference jiných zákazníků, nicméně právě reference jsou jednak u zabezpečení problémem (mnoho organizací je nechce poskytovat). K diskuzi také je, zda se rozhodnout nebo nerozhodnout pro dodavatele, o němž víme, že již pracuje pro konkurenci.

Součástí navázání vztahu s dodavatelem zabezpečení by měla být přesná analýza výchozího stavu, přesná formulace rozsahu poskytovaných služeb, mechanismů jejich ověřování a kontroly. Důvodem je vytvoření prostředí, ve kterém žáden aspekt požadované služby není a jednoduše nemůže být předmětem různého chápání zákazníka a dodavatele.

Výše uvedené kroky jsou počátkem dlouhého a složitého procesu budování důvěry mezi dodavatelem zabezpečení a organizací, která se rozhodla na něj spolehnout. V případě, že na počátku není snaha o spolupráci specializovaného vnitřního oddělení s externími odborníky, je to cesta o to náročnější. Na jejím konci se v ideálním případě nachází křehký, ale vyvážený vztah, ve kterém je komplexní zabezpečení informační infrastruktury zajištěno, a organizace, která se pro ně rozhodla na tom nejenom, že ušetří, ale vydělá.