Ads 468x60px

tiistai 22. tammikuuta 2013

Tietoturvan ulkoistaminen Intiaan?

Tämän aamun Kauppalehdessä oli artikkeli "Tietoturvan ulkoistaminen Intiaan lisää riskejä". Artikkelissa käsiteltiin viimeaikaisia Nokian uutisia tietohallinnon ja  tietotekniikkatoimintojen ulkoistamisesta Intiaan. Otsikko on tarkoituksellisen raflaavasti valittu. Vaikka ihan Intiaan asti ei olisikaan ulkoistamassa, asiaan tulee kiinnittää huomiota. Varsinkin pienemmissä ulkoistuksissa tulee vahingossa ulkoistaneeksi myös tietoturvansa ja samalla nostettua huomaamatta riskitasoaan.

Kaikissa ulkoistuksissa tulee huomioida myös tietoturvaan ja tietosuojaan liittyvät asiat. Vaikka kysymys olisikin vain siivoustoiminnan ulkoistamisesta siivousfirmalle, tulee siivojien luotettavuudesta varmistua, jos siivoojat työskentelevät toimistoaikojen ulkopuolella organisaation tiloissa. Kun ulkoistetaan tietojärjestelmien/tietotekniikan ylläpitoa, tulee asiaan kiinnittää erityistä huomiota. Kauppalehden artikkeli painotti ansiokkaasti tätä asiaa.

Ulkoistuksen perussääntöjä on, että ei kannata ulkoistaa asiaa, jota ei itse osaa. Silloin ei varmasti saa tarvitsemaansa palvelua ja ulkoistuksesta haettavat hyödyt jäävät toteutumatta. Ulkoistajan tulee tietää mm. ulkoistamiensa tietojärjestelmien sisällöt, tärkeys organisaatiolle, niihin kohdistuvat vaatimukset ja niitä säätelevä lainsäädäntö. Jo ulkoistussopimusta solmittaessa tulee osata sopia ja vaatia näitä asioita, sekä määritellä miten ulkoistettavan palvelun tilasta raportoidaan ja miten sen onnistumista mitataan. Auditointioikeus kannattaa aina sisällyttää sopimuksiin.

Yksi keino varmistua ulkoistetun palvelun tietoturvallisuudesta on pyytää palveluntarjoajalta ISAE 3402/3000 -lausunto. ISAE 3402 tunnettiin aiemmin nimellä SAS 70 ja se liittyi taloudellisen raportoinnin oikeellisuuteen ja Yhdysvaltain SOX-lainsäädännön vaatimusten toteuttamiseen. ISAE 3000 taas on suunniteltu nimenomaan nykypäivän IT-ulkoistustarpeita varten, ja sen avulla voidaan paremmin varmistua esim. pilvipalveluiden tietoturvan ja tietosuojan toteutumisesta. Tietosuojan toteutumisesta (varsinkin ulkoistettaessa EU:n ulkopuolelle) tulisi varmistua Binding Corporate Rules (BCR) -menettelyllä.

ISAE-lausunnot tunnetaan myös SOC1 (ISAE3402), SOC2 (ISAE3000) ja SOC3 -nimillä (SOC = Service Organization Control report). SOC3 -lausunto on tiivistelmä suoritetusta SOC1 tai SOC2 -tarkastuksesta ja sen antaminen vaatii aina kyseisen tarkastuksen toteuttamisen.

Valveutuneet ulkoistustalot/palvelutoimittajat osaavat jo tarjouskilpailuvaiheessa mainita lausunnoistaan ja esittävät kontrolliympäristönsä sisällön. Nykyaikana palvelun tietoturvan laatu osoitetaan usein jo myyntivaiheessa annettavalla SOC3-lausunnolla.

Muistetaan siis huolehtia ulkoistuksen tietoturvasta, ei tietoturvan ulkoistamisesta!

5 kommenttia:

Anssi Porttikivi kirjoitti...

Hyvä kirjoitus!

mikk0j kirjoitti...

Tietoturvan ulkoistamisessa, kuten niin monessa muussakin mahdollisuudessa (tässä tietyllä tavalla myös raflaava ajatusmaaila - onko se nykytilanteeseen mahdollisuus vai heikkous...) on useampi taso. Ulkoistetaanko teknisen tietoturvan, kontrollien toteuttaminen vaiko tietoturvallisuuden johtaminen, tarkastus vai mitä näiden väliltä?

Ei se välttämättä suinkaan NOSTA riskitasoa kun pienemmissä ulkoistuksissa myös OSA tietoturvallisuudesta siirtyy mukana. Tosin jos se tarkoittaa myös tietoturvallisuuden- ja riskienhallinnan osalta käsien pystyyn nostamista sekä liiketoiminnasta johdettujen riskikertoimien antamista ulos - niin kyllä, sitten lienee kyseessä major fuckup.

Ymmärrän KPMG:n näkemyksen tässä erittäin hyvin - toivoisin kuitenkin näkemystä muistakin askelmerkeistä kuin verrokkina käytettyä ISAE lausuntoa. Olemme kaikki varmasti nähneet auditointien ja tarkastusten lopputulemina myös kyseenalaista jatkoprosessia: hommat hoidetaan tarkastusta varten hyvin, mutta ei siitä muodostu mitenkään toimivaa prosessia joka varmistaisi jatkossa asiakkaan kannalta laadukkaan ja riskienhallinnan näkövinkkelistä turvallisen ulkoistusympäristön, riippumatta siitä paljonko tietoturvallisuudesta on luovutettu toimijalle.

Ei pidä ymmärtää kirjoittamaani "väärin": Kannatan KPMG:n ehdottamaa lähestymistapaa ja pidän sitä erittäin arvokkaana. Kaikki valveutuneetkaan tahot eivät SILTI toimi jatkuvuuden hallinnan kannalta resilienssitietoisesti.

Mika Iivari kirjoitti...

Olen samaa mieltä että riskitaso saattaa parhaassa tapauksessa jopa laskea ulkoistuksen myötä. Halusin kirjoituksella muistuttaa siitä että asiaan tulee kiinnittää huomiota.

Kyllähän ISAE-standardien mukaisesti tehty tyypin 2 lausunto pakottaa pitämään huolta kontrolliympäristön toiminnasta, kun testausta tehdään kuuden kuukauden jaksolla. Näin ollen myös asiakas saa paremman varmuuden asioiden tilasta kuin kuvailemassasi point in time -auditoinnissa.

mikk0j kirjoitti...

Granted. Oleellista on myös mukauttaa, tai ehkä enemmänkin johtaa toimintaympäristöä muuttuvien olosuhteiden mukaisesti eikä pitää kiinni jo menneestä, mahdollisesti nykyhetkeen sopimattomasta kontrollikirjastosta tahi jopa toimintatavoista, elleivät ne tue muuta toimintaa. Tällöin myös auditoinnin ja vaatimusten johtaminen tulisi ulottaa oikealla tavalla päästä-päähän kokonaisarkkitehtuuriin.

Mika Iivari kirjoitti...

Jep. Tässä tullaan SOC2 ja SOC3 lausuntoihin, joiden kontrolliframeworkin voi itse päättää vastaamaan muuttuneita tarpeita; tietosuojaa, tietoturvaa eri painotuksin tai vaikka viranomaisvaateita kuten KATAKRI.

Lähetä kommentti