Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity

Informační bezpečnost začíná nabývat vpravdě olbřímích rozměrů. Útoky přicházejí ze všech možných i nemožných míst, jejich sofistikovanost narůstá, čas na reakci se zkracuje… Čím dál méně času, prostředků a dalších zdrojů zůstává na vlastní chod společnosti.

Všeřešící outsourcing?

Dnešní svět informační bezpečnosti je ovšem extrémně široký a někdy až nepříjemně dynamický, takže mnohdy není v silách organizace (byť by měla na problematiku vyčleněné samostatné oddělení i rozpočet) sledovat aktuální trendy, reagovat na ně, orientovat se v nabídce služeb a řešení (antivirový program si dnes asi nikdo nebude dělat na vlastní pěst)…

Proto často přichází ke slovu outsourcing. Tím se rozumí smluvní vztah mezi dodavatelem a odběratelem za účelem přenesení odpovědnosti za určitou část provozu odběratele na dodavatele. V reálném světě outsourcing využíváme prakticky na každém kroku (např. služby). V oblasti informatiky se pak jedná o přenesení části provozu (hardware, software, lidské či časové zdroje apod.) na jiný subjekt.

Nezanedbatelnou výhodou jakéhokoliv outsourcingu obecně je, že zadavatel se může plně soustředit na hlavní obor své činnosti a nemusí se věnovat aktivitám, které odčerpávají jeho energii. Outsourcingem dochází k uvolnění vlastních zdrojů. V případě zkušeného dodavatele je též zaručena kvalita služeb. Následuje zjednodušení manažerské práce a v návaznosti na to odpadá nutnost každodenní kontroly. Kromě toho je outsourcing ideální v případě nárazové výpomoci, kdy není nutné narychlo najímat a zaškolovat pracovní sílu. Ostatně, vlastní zaměstnanci jsou nezřídkakdy vnímáni jako velmi drahý zdroj kvůli nutnosti pravidelného školení (které není pro zaměstnavatele ekonomicky zajímavé), nutnosti sociálních výhod (placená dovolená apod.) a především se obtížně mění jejich stavy (rychlé nabírání nebo redukce v případě potřeby).

Outsourcing také znamená přenesení odpovědnosti – externí dodavatel má zpravidla snahu být dobrý, protože nemá nic jisté (což se nedá říci třeba o interních zaměstnancích). Jednoznačným argumentem číslo jedna je ale snaha o finanční úsporu (čas, peníze aj.). Díky outsourcingu dochází ke snížení a zprůhlednění a nárůstu efektivity.

Outsourcing ano, ale…

V každém outsourcingu (nejen v případě ICT bezpečnosti) je potřeba zajistit manipulaci s citlivými informacemi. Jejich výměna je zkrátka nevyhnutelná, a proto je potřeba dobře ošetřit práci s nimi – technicky (šifrování apod.) i právně (smlouvy aj.). Přesné vyčíslování vzniklých škod je totiž v případě nějakého incidentu zpravidla obtížné (třeba při medializaci úniku citlivých informací). Často se namítá, že možné je, ale v konečném důsledku pak záleží na použité metodice a nikoliv na všech ovlivněných skutečnostech. Proto se nejčastěji používá zavedení vysokých smluvních pokut, které jsou dostatečnou hrozbou pro případného viníka. Ostatně, možnost jednoznačného určení viny je dalším důvodem nutnosti kvalitně zpracovat outsourcingové smlouvy.

Rozhodnout se pro outsourcing v oblasti informační bezpečnosti je otázkou zásadní a velmi dlouhodobou. Ne vždy je to samozřejmě výhodné, ale právě v tom je tajemství úspěchu schopných – dokázat najít onu tenkou linii, která není přesně vytyčená a která pokaždé vede jinudy.

V případě rozhodování ohledně outsourcingu IT bezpečnosti působí několik protichůdných proudů. Ideální je samozřejmě zajišťovat si co nejvíce služeb vlastními silami, a to zvláště v takto kritické oblasti. Všechno je nablízku, pod kontrolou a relativně snadno ovlivnitelné. Máme možnost sledovat, jak věci probíhají či kdy budou hotové. Ale to je jen jedna strana pohledu. Přestože se věci mohou dít k maximální spokojenosti managementu, nemusí být stoprocentně v pořádku třeba právě z hlediska bezpečnosti.

Ne všelék, ale možnost

Outsourcing sice není všelékem, ale je v oblasti ICT bezpečnosti často využívanou cestou, jak snížit náklady a zvýšit ochranu elektronických dat.