Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity

Vybrat si správného dodavatele bývá obtížné. V oblasti outsourcingu bezpečnosti je to ale navíc i kritické, protože vybíráte někoho, kdo bude mít téměř absolutní moc nad tím nejcennějším, co máte.

Čím dál složitější

Základem každého úspěchu – i v outsourcingu – je správně se rozhodnout. Dříve končilo mnoho pokusů o outsourcing, ať již některých procesů nebo celých oddělení, krachem. Nebyly zkušenosti, ale zato byly o outsourcingu iluze. Dnes je situace přesně opačná: outsourcingové firmy mají zkušenosti, odběratelé mají určitou dávku obezřetnosti.

Ostatně, o tomto vývoji svědčí i skutečnost, že dříve byly outsourcovány především nárazové akce, administrativní nebo provozní záležitosti. Dnes už je situace jiná a bez obav je možné pouštět se i do dříve nepředstavitelných oblastí jako je třeba BPO (Business Process Outsourcing).

Ovšem pozor, úspěch nepřijde sám od sebe jen proto, že je celý obor zkušenější a poučenější. Základním pravidlem je, že outsourcovat lze jen to, v čem mám pořádek a přehled. Předpokládat, že „vymetením“ služby ven se něco spraví, není správné. Nejsme schopni jasně předat podklady, definovat zadání, ani jedna strana není schopná kontrolovat převzetí či předání...

Každopádně je vždy nutné provést finanční analýzu – a to čestně, protože nemá smysl sám sobě lhát. Je zapotřebí počítat s úplnými náklady (mzdy, kanceláře apod.). Ale je to trochu alchymie, protože i když nějakou hodnotu rozpočítáme zcela přesně, výsledek nemusí být přesný. Třeba pronájem kanceláře: sice si spočítáme, jakou část nájmu můžeme ušetřit, ale pokud ji fyzicky nedokážeme využít jinak, de facto jsme jen zdražili provoz. Náklady z pronájmu nezmizely, jen se teď objevují v jiných kapitolách. S trochou ironie by se dalo říci, že jsme dosáhli úspor za cenu zvýšení nákladů...

Zadní vrátka otevřená

Předpokládejme nicméně, že přesně víme, co chceme a potřebujeme. Následuje proces výběru dodavatele, což je podmíněno správnou interní strategií: vybírat jen nabídky, které plní stanovené cíle. Není totiž outsourcing jako outsourcing.

Snažte se srovnávat více nabídek. Požadujte po dodavateli, ať vám jich vypracuje několik (a nenechte se odbýt tím, že „tato je stejně nejlepší“ – pro koho?), nebo rovnou oslovte více dodavatelů. Různí dodavatelé jednoho řešení mohou nabídnout diametrálně odlišné podmínky…

Nicméně nic není jen černé nebo jen bílé – a občasná odůvodněná změna používaných produktů nemusí být na škodu. Opakujeme, že záleží jen na dodavateli, zdali preferuje svůj nebo váš prospěch. Pokud máte dlouhodobě dobré vztahy s dodavatelem, jistě na něj dáte. Zvláště je-li pravděpodobné, že má k dispozici nějaké neveřejné zákulisní informace („výrobce chce ukončit podporu tohoto řešení“, „mají čím dál více problémů s porušováním práv“, „reagují čím dále pomaleji“ apod.).

Na toto ostatně navazuje i další oblast, kterou je zapotřebí si uvědomit. A to zdali preferujete dodavatele nebo řešení. Podle modelu „preference dodavatele“ si v zásadě vybíráte důvěryhodného dodavatele – a následně jednáte o řešení. Často se ale stává, že je preferováno řešení (např. nějaká značka nebo z důvodu neodvolatelného příkazu „z vyšších míst“). Pak samozřejmě hledáte jinak, a to mezi dodavateli příslušné značky. Neříkáme, že některá z těchto variant je vyloženě správná nebo vyloženě špatná – to se může projevit až v konkrétních podmínkách.

Záruky a sankce

Nikdo vám samozřejmě nezaručí stoprocentní bezpečnost. A pokud někdo ano, tak buď neví, o čem mluví, nebo záměrně nemluví pravdu. Na druhé straně můžete vyžadovat jiné záruky: jistotu technické podpory po celou dobu životního cyklu produktu. Záruku kompatibility (abyste se po čase nedozvěděli, že vaše organizace byla nevědomky použita jako testovací platforma). Záruku rychlosti reakce na incidenty. Nezapomeňte přitom na sankce! Záruky bez sankcí jsou méně než polovičaté…

Klaďte důraz na funkčnost – atesty a certifikáty jsou zajímavá věc, ale rozhodně by neměly mít příliš vážné slovo. Problém je v tom, že právě ve vašich konkrétních podmínkách nemusí řešení či služba přes mnohá vítězství v testech nebo doporučení odborníků korektně fungovat (ostatně každá počítačová síť je svým způsobem unikátní a má svá specifika).

O funkčnosti mohou přitom napovědět třeba reference – samozřejmě je rozdíl mezi dodavatelem řešení pro domácí uživatele a malé firmy a dodavatelem pro velké úřady a/nebo bankovní sektor. Podle toho, kde se nacházíte, si i vybírejte dodavatele se zkušenostmi užitečnými právě pro Vás. A pozor – někteří dodavatelé nabízí produkty, u nichž se ohání nasazením ve velkých amerických bankách, německých firmách či japonských korporacích. To je sice zajímavá reference, ale vypovídá toliko o kvalitě produktu, nikoliv o kvalitě dodavatele.

Dejte si také dobrý pozor na závislost na dodavateli. Mnoho dodavatelů se snaží vytvořit takové podmínky, že jeho změna je nesmírně náročná a nákladná. Pochopitelně i vaším cílem by mělo být navázání dlouhodobé spolupráce, protože dnešní dobré rozhodnutí ušetří budoucí výběrová řízení, problémy s migrací na jiné řešení apod. Nicméně možnost relativně snadné změny dodavatele vytváří určitý tlak na kvalitu služeb, dodržování termínů apod.

Sluha dvou pánů

Na tuto oblast navazuje jedna velmi často pokládaná otázka. „Je v pořádku, když outsourcingová firma pracuje pro dvě konkurenční společnosti?“ Krátkozraká odpověď přitom praví, že není, protože může dojít k úniku dat nebo k jejich zneužití v případě konkurence. To je sice pravda, ale jen částečně. Musíme si totiž uvědomit, že úkolem outsourcingové firmy je v případě ICT bezpečnosti data chránit, nikoliv zpracovávat. A dále že poklesu nákladů je dosahováno jejich rozložením mezi více subjektů – tyto se přitom navzájem ke svým datům nesmí dostat (lhostejno zdali se jedná o organizace konkurující nebo dokonce spolupracující). Pracovat bez problémů pro konkurenční firmy je tak naopak dobrou vizitkou kvalitní outsourcingové společnosti.

Dodavateli zkrátka musíte důvěřovat. Získává přístup k vašim citlivým datům, na nichž stojí a padá celé vaše bytí či nebytí. Na první pohled lákavé řešení od dodavatele, o němž nejste stoprocentně přesvědčeni, asi nebude pro vás tím pravým ořechovým…

A tím jsme se dostali k základu dobrého a kvalitního outsourcingu, kolem něhož neustále kroužíme. A tím je smlouva – resp. dobrá smlouva. Tuto v žádném případě nepodceňujte, není to cár papíru „tady mi to podepište a nějak se domluvíme“. Smlouva musí vše výše uvedené přesně a jasně definovat, nesmí v ní zůstávat žádná hluchá místa a šedé zóny nejasných otázek. Musí obsahovat přesný rozsah služeb, prostředky a způsoby jejich dosažení apod. Právě dobrá smlouva maximálně eliminuje třecí plochy a problematické oblasti, které by se v budoucnu mohly vyskytnout.

Outsourcing jako oheň

Bez větší nadsázky by se také dalo říci, že outsourcing je jako oheň. Dobrý sluha, ale špatný pán. Totéž přitom platí o dodavateli outsourcingu bezpečnosti.