Outsourcing udfordrer sikkerheden

Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen ITinnovation om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer..

Kan du stole på din babysitter? Du giver en ung pige et mindre beløb for at passe på dine børn – det dyreste, du ejer. Hvordan kan du vide, at hun og børnene stadig er der, når I kommer hjem fra en aften i byen?

Når du har overvejet det spørgsmål, kan du stille det samme spørgsmål om virksomhedens outsourcing-partner. Hvordan kan du stole på det firma, der har overtaget ansvaret for jeres it-drift?

Hvad angår selve den virksomhed, kontrakten er indgået med, er sikkerhedsproblemerne ikke så store. Et outsourcing-firma er interesseret i at levere en god ydelse, så kunderne ikke forsvinder. Og kontrakten indeholder klare regler for, hvordan data skal behandles og beskyttes.

Alligevel er outsourcing et af de emner, jeg får fleste spørgsmål om, når jeg holder foredrag om it-sikkerhed. Og det er der gode grunde til. Outsourcing giver nemlig udfordringer for it-sikkerheden.

Ny arbejdsgiver
En udbredt model består i, at en del af virksomhedens it-medarbejdere skifter arbejdsplads: De bliver ansat hos outsourcing-firmaet. Her begår man nemt den fejl fortsat at betragte dem som ansatte. Det er jo mennesker, man har kendt gennem flere år. Men deres loyalitet er altså skiftet – nu har de en anden arbejdsgiver.

Også selve teknologien giver udfordringer. For at kunne levere problemfri systemdrift skal outsourcing-firmaet have adgang til de systemer, det driver.

Men det betyder ofte, at medarbejderne hos outsourcing-leverandøren får fuld adgang til både programmer og fortrolige data. Det er et problem. Dels giver det mulighed for, at de kan misbruge data. Dels bliver de blandt de første mistænkte, hvis der opstår en sag om misbrug, selvom de kan være uskyldige.

Kodede data
Der findes en teknologi, der kan afhjælpe problemet: Kryptering. Det vil sige, at man koder alle data, før de gemmes. Kun medarbejdere med den rette nøgle kan afkode og dermed læse data.

Kryptering løser også et andet problem: Hvis sikkerhedskopier falder i de forkerte hænder, kan uvedkommende få adgang til fortrolige data. Men hvis sikkerhedskopien er krypteret, kan den kun læses af den, der har nøglen.

Hvis din virksomhed har outsourcet en del af sin drift, vil jeg derfor anbefale, at du kigger sikkerheden efter i sømmene. Er data krypteret? Og har I en plan for, hvad I vil gøre, hvis der opstår problemer?

Oprindelig bragt i Børsen ITinnovation den 16. oktober 2007

 

 

Keywords: