Tilsvarende eller høyere nivå på både tjenestekvalitet og IKT-sikkerhet bør være en målsetning ved tjenesteutsetting. Dette er en anbefaling fra Nasjonal sikkerhetsmyndighet (NSM), som i en rapport konkret peker på hva en virksomhet bør være oppmerksom på. NSM er bekymret fordi erfaringer viser at det er lav bevissthet rundt krav til og oppfølging av informasjonssikkerhet ved tjenesteutsetting av IKT-tjenester.
Nasjonal sikkerhetsmyndighet (NSM) publiserte nylig rapporten «Sikkerhetsfaglige anbefalinger ved tjenesteutsetting». Hensikten med den er å bistå offentlige og private virksomheter med overordnede sikkerhetsfaglige anbefalinger ved tjenesteutsetting av IKT-tjenester – basisdrift, applikasjonsdrift eller applikasjonsforvaltning til en ekstern tjenesteleverandør.
For å ivareta IKT-sikkerheten ved tjenesteutsetting, anbefaler NSM i rapporten at virksomheten er bevisst behovet for:
- Oversikt og kontroll på hele livsløpet
- God bestillerkompetanse
- Gode risikovurderinger for å kunne ta riktig beslutning
- Riktige og gode krav til IKT-tjenesten og til leverandør
- Riktig beslutning på riktig nivå
Bevisst på risikoen
Tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan gi bedre sikkerhet og mer stabile og tilgjengelige tjenester, heter det i rapporten. Tilgang til ekspertkompetanse og verktøy man ikke selv besitter, kan bedres, kostnader kan bli lavere og mer forutsigbare og det kan i større grad bidra til bedre fokus på virksomhetens kjerneaktivitet. Samtidig må virksomheter være bevisst hvilken risiko en tjenesteutsetting medfører. Tilsvarende eller høyere nivå på både tjenestekvalitet og IKT-sikkerhet bør være en målsetning ved tjenesteutsetting.
NSM anbefaler at før det foretas en strategisk beslutning om bruk av tjenesteutsetting, bør virksomheten vurdere om den er «rigget» for å håndtere alle faser i en tjenesteutsettingsprosess. Virksomheten må også kartlegge hvilke lover, krav og regler som gjelder både nasjonalt og internasjonalt.
Økende trend
Det er en økende trend at private og offentlige virksomheter velger å tjenesteutsette hele eller deler av sin IKT- portefølje. Ifølge Statistisk sentralbyrå (SSB) har andelen norske virksomheter med ti eller flere ansatte som kjøper skytjenester, økt fra 40 til 48 prosent fra 2016 til 2017.
Tjenesteutsetting, inkludert skytjenester, er av de mest betydningsfulle trendene innen digitaliseringen av samfunnet. Økende bruk av tjenesteutsetting gjelder også for virksomheter som understøtter samfunnets beredskap og krisehåndtering. – Dette er leveranser som bør være mer robuste og tilgjengelige enn vanlige kommersielle løsninger, skriver NSM i rapporten, fordi de skal fungere i situasjoner hvor mye annet er utilgjengelig. Dette må tas hensyn til når tjenesteutsetting vurderes.
Bekymret
Erfaringer fra NSMs operative virksomhet og andre statlige tilsynsorganer viser at det er lav bevissthet rundt krav til og oppfølging av informasjonssikkerhet ved tjenesteutsetting av IKT-tjenester. Risikovurderinger og konsekvensutredninger som utføres ved tjenesteutsetting er ofte mangelfulle. NSM er bekymret for at samfunnskritiske IKT-tjenester tjenesteutsettes uten tilstrekkelige risikovurderinger og sikringstiltak og at data flyttes til utlandet uten tilstrekkelige sikkerhetsfaglige vurderinger.
Bli den første til å kommentere på "Høyere nivå på IKT-sikkerhet bør være mål ved tjenesteutsetting"