I takt med att beroendet av tillförlitlig och kostnadseffektiv IT-drift under de senaste 15 åren har växt, har Internrevisionens intresse för att granska outsourcing av IT-relaterade tjänster märkbart ökat under de senaste tre åren. Medias bevakning av organisationers hantering av IT, och sedermera uppdagandet av hantering av känsliga data hos Transportstyrelsen, har gjort att ledningen hos fler och fler organisationer fått upp ögonen för de risker som relaterar till externa leverantörers lagring av och tillgång till affärskritisk eller känslig information. Därutöver har även GDPR-förordningen som trädde i kraft den 25 maj 2018 ytterligare satt sin prägel på leverantörernas hantering av personuppgifter.
Vår erfarenhet är att organisationer som outsourcat sin IT-drift överlag har goda processer för såväl kravställning som uppföljning av tillgänglighet och servicenivåer. I den här artikeln vill jag lyfta fram tre förbättringsområden som vi har noterat hos de kunder där vi granskat outsourcing av IT, främst med fokus på upprättade avtal, erhållen leverans, samt organisationens styrning och uppföljning.
1.Informationssäkerhet
Att säkerställa att informationssäkerhetsaspekter täcks in i avtal och ingår i den externa leverantörens arbetssätt, är en grundförutsättning innan avtal ingås. Detta ställer krav på beställaren, eftersom de interna styrmedlen kring informationssäkerhet först bör vara etablerade. Primärt ser vi att säkerhetsklassning av information inte alltid har gjorts, samt att ägarskap av information och system inte alltid är tydligt utpekat och kommunicerat. Informations- och systemklassning bör beakta informationens och systemens konfidentialitet, integritet, tillgänglighet och spårbarhet, och ligga till grund för de skyddsåtgärder som bör kravställas för att skydda information och system i paritet med klassningsnivån.
2.Back-up och kontinuitetshantering
Organisationer bör även tillse att back-up av data samt testning av återläsning utgör en del av leverantörens åtagande och återrapporteringsskyldighet. Här finns det stora förbättrings-
möjligheter. IT-området kryllar av förkortningar, och två nyckelvärden inom kontinuitetshanteringen som vi noterar ofta förbises, är hur mycket (hur många timmars/dagars) data en organisation ”har råd” att förlora (RPO – Recovery Point Objective), samt hur lång tid som får förlöpa till dess att fallerade system är fungerande igen (RTO – Recovery Time Objective). Dessa värden bör utgå ifrån verksamhetens krav och utifrån affärskritiska processer. Därutöver säkerställer organisationer ofta bara att testning av återläsning ska ske, men sällan omfattningen av dessa tester och återrapportering av resultatet från dessa tester.
3.Behörighetsstyrning
Åtkomst till informationen som hanteras hos extern leverantör bör genom avtal begränsas till dem som behöver det som en del av det dagliga arbetet. I många fall har både anställda och externa konsulter större åtkomst än vad de behöver. Organisationen bör säkerställa att leverantören regelbundet skickar utvärderade och uppdaterade behörighetslistor och att åtkomsten alltid är tidsbegränsad. Att vara införstådd med vem eller vilka inom den externa leverantören som har tillgång till organisationens information bör prioriteras av ledningen, något som vi noterat inte alltid är fallet. Att inkludera detta i avtal ser vi som en avgörande faktor för ledningen att skapa sig bättre förutsättningar att styra behörigheterna till affärskritisk information som lagras hos externa leverantörer. Det mest aktuella exemplet kring detta är naturligtvis Transportstyrelsens hantering av externas tillgång till känslig information.
Skriven av Jens Ryning
