Outsourcing – ett hot mot säkerheten

De flesta kunder jag har träffat som outsourcat hela sin IT-miljö har i samband med outsourcingen också blivit av med kompetensen. I många fall så hamnar alla eller delar av den gamla personalen hos outsourcingbolaget som en del av affären.

Jag vet inte vem som har odlat myten om att man inte behöver någon teknisk kompetens in-house om man outsourcar sin IT. Är man seriös med sin outsourcing och vill få en bra leverans över lång tid utan att bli lurad och betala överpris samt att kunna ifrågasätta och ställa krav på innehållet i tjänsteleveransen så är det faktiskt teknisk kunskap som behövs. Annars är det kört.

Vad händer då med säkerheten? Antagligen blir det säkerhetsleverans av best-effort enligt standardpaket av outsourcingbolaget. Men affärsriskerna och de som får ta de största konsekvenserna vid en incident är kunden. Finns det ingen väl insatt i risker och säkerhetsfrågor på kundsidan så riskerar dessa frågor tyvärr att bli glömda då andra saker på agendan som AD-konton, serverdrift, help desk frågor mm tar en större plats på dagordningen.

Säkerheten är något som den egna organisationen behöver värna om, känna ansvar för, kravställa, granska och följa upp. ÄVEN om driften är någon annanstans.

Jag tror inte att det fungerar att skicka ut den tekniska personalen och ersätta med ett gäng administratörer som ska kontrollera tjänsteleveransen och ha driftmöten med leverantören samt lägga nya beställningar på tjänster. Eller är det bara jag?

// Hans Graah-Hagelbäck