For å beskytte bedriftens digitale verdier, trenger du ressurser som kan bli svært kostbare å ansette selv.
Når du innser hvor mange potensielle trusler du inviterer inn idet du kobler dine tjenester og deg selv til internett – hjemme, på reise, på kontoret eller i skyen – er det lett å bli engstelig. Truslene vil være alt fra ransomware som krypterer maskinene dine, til industrispionasje som er totalt usynlig uten riktige verktøy til å oppdage dem.
Det kan være lett å tenke at den eneste måten å være fullstendig trygg på, er å gå analogt. Det er ikke en mulighet i 2022.
For å adressere dette må du enten ha egne personer med sikkerhetsansvar, eller sette ut oppgaven til en ekstern partner. Spørsmålet melder seg deretter: Er det ikke paradoksalt å overlate ansvaret for å beskytte bedriftens digitale verdier til noen utenfra?
Det er grunnen til at mange føler seg mer komfortable med å overlate ansvaret til IT-sjefen. For er det ikke bare å sette opp en brannmur og lagre all data i skyen?
IT-sjefen (om du har en) er allerede opptatt med drift
Nå har det seg sånn at drift og sikkerhet er to helt forskjellige felter innen informasjonsteknologi. IT-sjefen har allerede hendene fulle med å kjøpe og drifte bedriftens teknologi, og knytte den opp mot forretningsmodellen deres. Sikkerhet er en fulltidsjobb (litt satt på spissen) som innebærer å konstant plugge nye hull i demningen, som cyberkriminelle over hele verden jobber døgnet rundt med å finne eller skape selv.
Det er mange veier til Rom, og det er enda flere veier inn i nettverket ditt. Alt fra e-postsystemet, eksterne partneres rutiner, ansattes slurv eller naivitet, software-svakheter, til de nye digitale lysene i bygget ditt, kan utnyttes av uvedkommende.
En moderne sikkerhetsløsning er nødt til å ta alle mulige svakheter i betraktning. Det krever ekstrem høy kompetanse, kunnskap, og riktige digitale verktøy. En klassisk brannmur gjør ofte ikke annet enn å lete etter allerede identifiserte virus – noe som hjelper lite når mange hackere dessverre er svært kreative og nyskapende.
In-house er dyrt om du skal gjøre det skikkelig
Det er mulig å løse datasikkerhet innomhus. Selvfølgelig er det det. Men ettersom det krever bred, og ikke minst oppdatert kunnskap på veldig mange områder, er du nesten avhengig av en hel sikkerhetsavdeling. Dette resulterer i en stor utgiftspost, og da er det ikke rart at nesten halvparten av norske ledere heller ville vurdert å betale løsepenger enn å betale for sikkerhet i forkant.
Alternativt kan du ansette én sikkerhetsekspert, men skal den ene eksperten alene holde alle systemer oppdatert, følge med på utviklingen og i tillegg overvåke det hele dag og natt, er det nok til å drive selv det største arbeidsjern til utbrenthet. Det finnes nok noen som er dyktige nok til å klare jobben, men IT-jobber er høyt etterspurt, og dette hypotetiske ettmannsbandet vil nok kreve en ganske heftig sum for å jobbe hos deg.
Når du i stedet kan inngå en avtale med et eksternt selskap for langt lavere pris enn én årslønn, blir det fort den beste løsningen for de fleste selskaper.
Med tilgang på et bredere team med forskjellig ekspertise, får du mer kunnskap for pengene. Antallet kunder de beskytter på én gang gjør at det de lærer hos én kunde, også kommer deg til gode. Ikke minst har de tilgang på dyr software som gjør det mulig å overvåke nettet 24/7.
Er tjenesteutsetting av datasikkerhet trygt?
Det kan altså være både billigere og bedre å tjenesteutsette datasikkerhet. Men er det trygt?
Her gjelder det egentlig å utvise skjønn, slik som du ville gjort i ethvert samarbeid med en tredjepart. Det er ikke usannsynlig at du allerede tjenesteutsetter datahåndtering i form av e-post eller skytjenester. Gå nøye gjennom kontrakten, og hør med eksisterende kunder hvilke erfaringer de har med selskapet.
Det viktigste av alt er nok likevel å se på tilnærmingen deres. Tilbyr de en fast pakkeløsning som skal fikse alt, eller ser de spesifikt på din unike situasjon? Et godt samarbeid burde starte med at partneren du vurderer gjør en grundig undersøkelse av dine systemer, verdier og forretningsmodell, for deretter å avgjøre hvilke tiltak som er mest hensiktsmessige for din situasjon.
Selv om det er en ekstern partner, betyr ikke det at du setter sikkerheten bort til noen andre og glemmer den. Begge parter må jobbe sammen om å innføre gode rutiner, og holde hverandre ansvarlige for å følge opp.
En god outsourcet partner skal ikke bare drifte løsningen din, eller levere et ferdig produkt. De skal være aktive rådgivere som både kan være en sparringspartner for deg, og som uoppfordret kommer med forslag til hvordan du kan beskytte verdiene dine enda bedre.
Ta kontakt dersom du ønsker å snakke med oss om outsourcing av IT-sikkerhet
