Revista si suplimente
MarketWatch
Inapoi Inainte

Securitatea informaţiei şi managementul riscului īn externalizarea serviciilor IT

14 Martie 2010



Externalizarea datelor şi a proceselor IT a devenit, în ultimul timp, o obişnuinţă pentru majoritatea companiilor. Cu siguranţă, avantajele sunt evidente, dar decizia de încredinţare a proceselor şi datelor unui operator de servicii trebuie analizată şi planificată temeinic, întrucât această operaţiune presupune uneori riscuri majore.

Ca şi în cazul externalizării oricărui alt serviciu, este responsabilitatea cumpărătorului să obţină suficiente garanţii că modul de procesare a datelor şi operarea proceselor externalizate se va efectua în condiţii de securitate şi control cel puţin egale cu procesul iniţial, printr-o specificare cât mai detaliată a termenilor contractuali.


Măsuri concrete de control şi monitorizare

Prin angajarea într-o relaţie contractuală cu un operator, compania îi încredinţează spre operare şi analiză o parte din datele şi volumul de cunoştinţe interne. Aceste date, deşi intangibile, au valoare ridicată şi trebuie protejate în funcţie de riscurile asociate.


Indiferent de cât de multă încredere ai în partenerul de afaceri, încrederea nu poate fi oarbă. Tocmai pentru că relaţia de afaceri este de lungă durată, măsuri concrete de control şi monitorizare trebuie agreate şi aplicate încă din faza de negociere şi contractare. Majoritatea cumpărătorilor preferă un operator ale cărui procese, sisteme şi practici sunt cel puţin egale sau superioare celor interne.


Multe cazuri recente de incidente de securitate sunt cauzate de practici eronate ale organizaţiilor de outsourcing ce operează cu datele clientului. În definitiv, operatorul de outsourcing se concentrează asupra livrării serviciilor cu resurse cât mai puţine şi, dacă nu este instruit altfel, poate face compromisuri de securitate. Consecinţele variază de la întreruperi minore ale activităţii clientului, până la pierderi majore de date, profit sau de imagine.


La externalizarea procesării datelor, indiferent de forma de colaborare cu furnizorul, proprietarul datelor trebuie să-şi ia măsuri de control şi monitorizare suficiente pentru protejarea datelor şi limitarea riscului indus în procesele principale. Cumpărătorul trebuie să transfere obligaţiile derivate din standarde şi reguli interne, legislaţie, compatibilitate sau alte norme specifice industriei.


În mod normal, cumpărătorul ar trebui să cunoască răspunsul la întrebările de mai jos înainte de semnarea oricărui contract de externalizare:


• Sunt măsurile de securitate adecvate pentru procesarea datelor pe care le încredinţezi partenerului?
• Operatorul de outsourcing se conformează cerinţelor tale specifice de reglementare?
• Cum se poate demonstra unor terţi (management, acţionari, auditori, organe de reglementare, autorităţi de control etc.) că organizaţia încă păstrează controlul asupra datelor chiar dacă acestea se află în posesia altcuiva?


Responsabilitatea asupra informaţiilor

Trebuie luate toate măsurile posibile pentru a fi sigur că operatorul protejează datele în concordanţă cu cerinţele de securitate ale clientului.


Managementul riscurilor

Nivelul investiţiei în protecţia informaţiilor trebuie legat indisolubil de nivelul riscului la care acestea sunt supuse. De aceea, riscurile trebuie identificate în prealabil, măsurate şi adresate metodic.


Nivelul investiţiei în sistemele de control trebuie adaptat în funcţie de consecinţele potenţiale ale concretizării unui risc asupra unor procese critice dependente de activităţile externalizate.



Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite