Deres risici er dine risici

Af Christian Kjær, director i PwC

Virksomheder i dag fokuserer i stigende grad på kerneforretningen og udliciterer dele af it-driften til eksterne parter, fx. til cloud-leverandører. Tendensen er positiv, men mange virksomheder ender med at deponere deres egen rolle i sikkerhedsarbejdet og løber dermed en stor risiko.

Når centrale driftsprocesser varetages uden for egne rammer, er det afgørende, at man sikrer, at leverandøren til enhver tid opfylder virksomhedens krav til at beskytte tilgængeligheden, fortroligheden og integriteten af de data og systemer, som leverandøren passer på for virksomheden.

De fleste outsourcing-kontrakter afspejler virksomhedens sikkerhedspolitik og stiller krav til leverandøren om, at den overholdes. De bedre kontrakter indeholder sågar KPI’er, baseret på mindstekrav til sikkerheden, så man over tid kan evaluere om leverandøren overholder de specifikke retningslinjer i sikkerhedspolitikken. Med dette på plads, er virksomheden tryg ved at overlade varetagelsen af data og systemer til leverandøren.

Vi oplever desværre, at mange virksomheder med tiden glemmer deres egen rolle i sikkerhedsarbejdet og derfor ikke efterlever deres ansvar for informationssikkerheden. Der er blind tillid til, at leverandøren er den bedste til at varetage dette arbejde.

Det er dog ikke muligt eller ønskværdigt, at det er den eksterne part der vurderer, hvilke forretningskonsekvenser et evt. nedbrud kan have på virksomheden, eller hvad en kompromittering af data potentielt vil betyde for virksomhedens renommé.

Det er derfor afgørende, at man i virksomheden sikrer, at der er etableret en tilstrækkelig formel rapportering og kommunikation, så virksomheden kan varetage styring af risici og give leverandøren den nødvendige sparring.

Min anbefaling er derfor, at alle virksomheder identificerer kronjuvelerne blandt virksomhedens informationsaktiver, etablerer en proces for løbende at vurdere trusselsbilledet i samarbejde med leverandøren og sidst, men ikke mindst, implementerer et passende kontrolmiljø, baseret på risikoen for forretningen.