Decyzja o outsourcingu wybranego obszaru działalności przedsiębiorstwa ma charakter strategiczny i powinna zostać dokładnie przeanalizowana z perspektywy wzrostu wartości przedsiębiorstwa. Wydzielenie na zewnątrz działalności pomocniczej coraz częściej staje się również metodą, dzięki której przedsiębiorstwo może skoncentrować się na podstawowej działalności w celu zwiększenia jej efektywności, co ma prowadzić do uzyskania przewagi konkurencyjnej. Jak wynika z raportu opublikowanego przez firmę Stern Stewart Research na podstawie badań rynkowych 27 przedsiębiorstw, które zawarły kontrakty na outsourcing IT, wykazano średni wzrost wartości dla akcjonariuszy na poziomie co najmniej 6% powyżej ogólnego trendu rynkowego. Można wyciągnąć wniosek, że samodzielne utrzymywanie i zarządzanie zasobami IT pozbawia wiele firm możliwości przyspieszenia swojego rozwoju.

Decydując się na outsourcing, pozwalamy na przegląd naszej działalności przez niezależnych fachowców, którzy w profesjonalny sposób wskażą ewentualne nieprawidłowości oraz metody ich wyeliminowania, pomogą określić odpowiednie dla danej firmy procedury i sposoby monitorowania ich realizacji.

Outsourcing umożliwia koncentrację przedsiębiorstwa na swojej podstawowej działalności biznesowej. Polega on na przekazaniu firmie zewnętrznej części lub całości zadań związanych z działalnością pomocniczą.

Cykliczne przeprowadzanie audytu bezpieczeństwa systemów informatycznych i bezpieczeństwa informacji staje się w Polsce obowiązującą normą. Trend ten spowodowany jest nie tylko coraz większą świadomością firm, co jest niezwykle pozytywnym zjawiskiem, ale również wymogami korporacyjnymi i zagranicznych kontrahentów. Ponadto potrzeba wykonania tego rodzaju audytu istnieje w każdej firmie, która ceni i szanuje swoje dane oraz sposób zarządzania nimi. Firmy uzyskujące certyfikat ISO w zakresie bezpieczeństwa informacji, stają się bardziej konkurencyjne na rynku.

Przedsiębiorstwo, które zdecyduje się na wykonanie audytu informatycznego, bądź audytu bezpieczeństwa informacji, powinno mieć przede wszystkim jasno zdefiniowany cel jego przeprowadzenia oraz korzyści, jakie zamierza w związku z tym osiągnąć. Pierwszym krokiem jest wykonanie dogłębnej analizy infrastruktury informatycznej oraz określenie, czy stosowana technologia jest wystarczająca do zabezpieczenia firmy oraz danych. Audyt taki należy wykonać w obecności doświadczonych specjalistów z dziedziny informatyki, wykorzystując profesjonalne narzędzia służące do wyszukiwania potencjalnych luk w systemach informatycznych. Testy penetracyjne powinny być przeprowadzane za zgodą zarządu danej firmy, a samo zlecenie takiej usługi należy poprzedzić zawarciem odpowiedniej umowy.

Audyt infrastruktury informatycznej jest złożonym i delikatnym procesem, ponieważ na osobach przeprowadzających audyt spoczywa ogromna odpowiedzialność. Wspomniane testy penetracyjne to tak naprawdę działanie na „żywym organizmie”, jakim jest infrastruktura informatyczna, i dlatego najmniejszy błąd może spowodować wstrzymanie pracy całej firmy na kilka godzin – w najgorszym wypadku nawet na kilka dni. Również delikatną czynnością jest administracyjna weryfikacja konfiguracji systemów informatycznych – wchodzimy w sferę tajemnicy firmowej, do której należą hasła dostępu. Zbadanie całej infrastruktury informatycznej jest jednym z najważniejszych etapów każdego dużego audytu bezpieczeństwa.

Ten etap audytu pozwoli na dokładne określenie i późniejsze zweryfikowanie, czy istniejąca Polityka Bezpieczeństwa oraz obowiązujące procedury są odpowiednio dostosowane do potencjalnych zagrożeń. Dokładne zapoznanie się audytorów z obowiązującą Polityką Bezpieczeństwa jest jak najbardziej uzasadnione, umożliwi sprawdzenie, czy osoby zajmujące się tym zagadnieniem w firmie (np. pełnomocnik ds. ISO, Dyrektor IT) poprawnie ją stworzyli, czy opracowane procedury przewidują wszystkie potencjalne zagrożenia oraz czy są zgodne z wymogami dotyczącymi branży, w jakiej działa przedsiębiorstwo.

Wprowadzenie przez firmę Polityki Bezpieczeństwa jest pierwszym etapem w drodze do zabezpieczenia swoich danych, informacji i systemów informatycznych. Nie może ograniczać się do przygotowania opracowania zawierającego procedury bezpieczeństwa i zamknięcia go w sejfie. Na nic się nie przyda nawet najlepiej opracowana Polityka Bezpieczeństwa, wdrożone procedury, zalecenia, wytyczne, jeśli nie będą konsekwentnie egzekwowane oraz przestrzegane przez pracowników. Istotne jest sprawdzenie i ocena, czy obowiązujące procedury są przestrzegane przez wszystkich pracowników przedsiębiorstwa, a nie tylko przez dział IT. Należy pamiętać, że najsłabszym ogniwem bezpieczeństwa jest człowiek, zwłaszcza ten nieświadomy istniejących zagrożeń.

Warunkiem koniecznym dla poprawnego funkcjonowania Polityki Bezpieczeństwa w firmie jest forma pisemna takiego dokumentu. Powinien on zostać napisany w jasny, zwięzły i zrozumiały sposób, tak, aby każdy czytający go pracownik zrozumiał zawartą w nim treść. Polityka Bezpieczeństwa powinna być dokumentem ogólnodostępnym, z którym powinien zapoznać się każdy pracownik. Po wdrożeniu Polityki Bezpieczeństwa istotne jest stałe podtrzymywanie świadomości pracowników poprzez przeprowadzanie szkoleń uświadamiających, testowanie procedur na wypadek katastrofy, przeprowadzanie testów systemów informatycznych itd.

Aby stwierdzić, czy Polityka Bezpieczeństwa jest przestrzegana, a wprowadzone procedury odpowiednie dla rodzaju działalności, spółka powinna przeprowadzać okresowe przeglądy wszystkich obszarów firmy. Pozwolą one na określenie czy cały system działa poprawnie, czy pracownicy podchodzą poważnie do zagadnienia związanego z Bezpieczeństwem Informacji oraz czy nie należy w poszczególnych zakresach poprawić lub udoskonalić procedur bezpieczeństwa. Przeglądy te są bardzo cenną i pożądaną praktyką. Powinny obejmować całą infrastrukturę informatyczną firmy, plany ciągłości działania, wiedzę użytkowników na temat wdrożonych procedur oraz analizę ryzyka.

Przeglądy powinny być przeprowadzane przez kierownictwo lub osoby mające pełnomocnictwo zarządu dotyczące kontroli funkcjonowania procedur Bezpieczeństwa Informacji. Często stosowaną praktyką jest zlecanie takich kontroli firmom zewnętrznym.

Po przeprowadzeniu przeglądów należy opracować stosowny raport opisujący stan bezpieczeństwa w firmie. Raport ten powinien być przechowywany jako zapis i jednocześnie dowód przeprowadzania okresowych przeglądów, które w przyszłości mogą być wymagane przez audytorów podczas audytu certyfikującego system Bezpieczeństwa Informacji.

Jak to się wszystko ma do outsourcingu? Firma świadcząca usługę outsourcingu IT powinna sama w ramach usługi wykonać dla siebie ten rodzaj audytu. W efekcie zdobędzie niezależną, własną ocenę tego, co zastała w firmie w zakresie bezpieczeństwa oraz będzie mogła określić i przedstawić zarządowi swoje pomysły, rozwiązania lub modyfikację istniejącej Polityki Bezpieczeństwa. Wówczas spółka będzie postrzegana jako profesjonalna firma, której nieobce są aspekty dotyczące bezpieczeństwa IT i bezpieczeństwa informacji, co powinno przyczynić się do wzrostu jej prestiżu.

Warto zadbać o bezpieczeństwo swoich informacji, bo informacja jest najcenniejszym z produktów na dzisiejszym światowym rynku.

Tomasz Polaczek
specjalista ds. Bezpieczeństwa Informacji
(ISMS Lead Auditor)
Computer Service Support SA