Hvordan unngå den neste IT-skandalen?

Av Alexander Bjerke , 14. august 2017

dette er et ran.png

Det siste året har vært hektisk for oss som jobber med informasjonssikkerhet. Datainnbrudd hos politiske organisasjoner, løsepengevirus og omfattende sabotasje av digital infrastruktur er noen av hendelsene som har skapt førstesideoppslag. Man kan stille spørsmålet om tiden er i ferd med å løpe fra de som insisterer på å drifte sin egen IT-infrastruktur internt i virksomheter. Systemene er i ferd med å bli for komplekse, trusselbildet er for dynamisk og kravene til funksjonalitet er for høye til at man klarer å henge med i utviklingen. For mange er løsningen på dette utkontraktering til eksterne driftsleverandører, ofte til såkalte skyleverandører.

I mange tilfeller er dette store internasjonale selskaper med solid kompetanse på drift, utvikling og sikkerhet, med løsninger som er skalerbare og stabile.

Likevel kan vi lese at mange virksomheter tilsynelatende snubler i prosessen med utkontraktering av IT-tjenester. Skandalen knyttet til transportstyrelsen i Sverige er den siste hendelsen, mens vi her hjemme har kunnet lese om utfordringer knyttet til Helse Sør-Østs moderniseringsprogram av deres IKT-infrastruktur og Petroleumstilsynets tilsyn av IKT-sikkerheten i Statoil. Vi i PwC har dessuten bistått en rekke norske private og offentlige virksomheter i forbindelse med utkontraktering til norske og internasjonale skyleverandører.

Så hvor er de store fallgruvene? Det varierer selvsagt fra situasjon til situasjon, likevel ser vi noen fellestrekk:

1. Man vet ikke helt hva man utkontrakterer

Når man inngår en hvilken som helst avtale, er det en forutsetning at man vet hva man har behov for og hva motparten forplikter seg til å yte. Når man utkontrakterer IT-tjenester til cloud eller andre tjenesteleverandører, er det derfor avgjørende at man har en god oversikt over sine egne systemer og hvilke prosesser de understøtter.

Virksomheten må blant annet være sikker på

  • hvordan IT-systemene er koblet sammen
  • hvilke grensesnitt virksomheten har mot eksterne systemer
  • hvor virksomhetskritisk informasjon lagres, prosesseres og transporteres.

Svaret på disse spørsmålene er ikke noe alle i virksomheten må kjenne, men skal man utkontraktere så må oversikten finnes. Dessverre opplever vi ofte at det ikke er tilfelle.

Vår erfaring er at om man ikke har klart for seg hvordan IKT understøtter de ulike prosessene i virksomheten og hvor informasjon behandles, vil utkontraktering bli som en risikosport uten sikkerhetsnett. 

2. Man kjenner ikke sine egne sikkerhetsbehov

Det fleste kan leve med at de ikke har full kjennskap til trusselaktørene der ute. Det man ikke kan leve uten er kjennskap seg selv. Hvis man ikke har en klar oversikt over hvilke sikkerhetstiltak (kontroller) virksomheten har iverksatt, og heller ikke vet hvorfor man har valgt akkurat disse, så blir det fryktelig vanskelig å avgjøre om skyleverandøren tilfredsstiller sikkerhetskravene. 

Fra mer modne skyleverandører vil man dessuten bli forelagt ganske omfattende valgmuligheter i hvilke sikkerhetstiltak man ønsker å benytte, og hvilke tilleggstjenester man vil kjøpe innen sikkerhet. Kjennskap til egne behov og krav til sikkerhet er en forutsetning for å velge riktig.

3. Risikovurderinger som går galt

Mange er lovpålagt å gjennomføre risikovurderinger, og de fleste gjør det uansett. Gjør man store endringer i IT-infrastrukturen sin, som å utkontraktere vesentlige deler av den til en skyleverandør, så bør dette risikovurderes. Men hva betyr det egentlig å risikovurdere en utkontraktering?

Hvis svaret på spørsmålet er å samle sammen en gjeng fra IT-avdelingen, gjerne sammen med en konsulent, for å brainstorme seg fram til noen risikoer, kan det fort gå galt. Problemet med denne metoden er at den baserer seg på at det finnes tilstrekkelig kompetanse til å kunne identifisere de relevante truslene og farene. Det er ofte ikke tilfellet når man snakker om omfattende utkontraktering til en internasjonal skyleverandør.

I slike tilfeller vil risikovurderingene ha dårlige forutsetninger for å identifisere de viktigste risikoene, og således være et dårlig utgangspunkt for gode risikoreduserende tiltak og informerte beslutninger. I verste fall kan de gi en falsk trygghet hos beslutningstakere, som medfører at man tar høyere risiko med adskillig større grad av usikkerhet enn det man tror.

Så hva kan man gjøre med dette?

Dessverre er det for de fleste virksomheter ikke noe alternativ å bare fortsette som før. På den ene siden har man forretningsmessige drivere som kostnadspress, skalerbarhet og krav til integrasjonsløsninger. Like viktig er det at stadig flere sentrale applikasjoner som HR, ERP og CRM-systemer blir stadig vanskeligere å anskaffe uten at det kommer som skybaserte løsninger.

Det er også en risikabel affære å utkontraktere jobben med utarbeidelse av løsningsforslaget på hvordan man skal modernisere sin egen IT-infrastruktur til den samme tjenesteleverandøren som i neste runde skal levere driften.

Det litt kjedelige svaret er at vellykkede utkontrakteringer forutsetter at man har god oversikt over egen infrastruktur, prosesser og informasjon man forvalter. For mange vil det bety en omfattende ryddejobb. Dernest at man sørger for å ha riktig kompetanse til å støtte seg gjennom prosessen, blant annet med risikovurderinger og utforming av avtaler. Det er også viktig å ha mekanismer som sikrer at leverandøren faktisk leverer i henhold til avtalen. I tillegg må man huske at perspektivet for en omfattende utkontraktering strekker seg over lang tid, gjerne mange år. Planen man legger for en utkontraktering må også ta høyde for dette. Det siste er at å flytte til skybaserte plattformer, med nye grensesnitt og nye muligheter for samarbeid, ikke bare er en teknisk øvelse. Man må ha med seg menneskene. Ellers vil mulighetene som åpner seg fort omgjøres til nye kilder for menneskelige feilhandlinger.

Vil du vite mer om hvordan du faktisk gjør dette? Kom på PwCs frokostseminar 24. August: God sikkerhet i skyen. Hvordan unngå neste IT-skandale.

 

Interesseområder: IT-risiko og -kontroll, Informasjonssikkerhet

Dele artikkelen:

Alexander Bjerke

Alexander Bjerke
Jeg heter Alexander Bjerke, og jobber som rådgiver innen cybersikkerhet og IT-risiko i PwC. Her jobber jeg med risikostyring og trusselvurderinger. Jeg har tidligere erfaring som yrkesoffiser i Hæren og Forsvarets Spesialstyrker, hvor jeg jobbet som analytiker og analyseleder innen etterretning og sikkerhet. Jeg har et lidenskapelig forhold til Internet of Things (IoT) og skyløsninger.
[email protected]

Kommentere