Obvladovanje tveganj na področju informatike

Plus
, posodobljeno:

Zunanje izvajanje storitev informacijske tehnologije (IT) je vedno aktualna in vroča poslovna tema. Gre namreč za izrazito poslovno odločitev, ki lahko družbi dvigne ugled in zagotovi operativno odličnost poslovanja ali pa vnese v njeno poslovanje dodatna tveganja.

Alen Mitrović
Alen MitrovićOsebni Arhiv

Neuspešno obvladovanje in realizacija tovrstnih storitev namreč kaj lahko povečata stroške poslovanja ter negativno vplivata na operativnost in ugled družbe.

Zunanje izvajanje IT storitev

Zunanje izvajanje IT storitev pomeni tveganje na več področjih poslovanja: na področju obsega in kakovosti in dejanske razpoložljivosti storitev, na področju stroškov, funkcionalne ustreznosti najetih rešitev ter njihove združljivosti z organizacijskotehničnimi rešitvami podjetja, ki tovrstne storitve najema.

Ob zunanje izvajalce IT storitev lahko v podjetju pride do pomanjkljivega internega nadzora sistemov. To pomeni, da naročnik tvega nepooblaščeno razkrivanje poslovnih informacij, nezanesljivo delovanje IT storitev in torej možnost okrnjenega poslovanja, nepooblaščen dostop do podatkov in celo poseganje vanje ter nepooblaščeno vnašanje sprememb, zmanjševanje varnosti, izgubo podatkov ipd. Neustrezen nadzor nad delom zunanjih izvajalcev IT storitev lahko privede do nepričakovane rasti stroškov, morebitne finančne težave dobavitelja storitev pa lahko pripeljejo celo do prekinitve sodelovanja.

Kaj naj obvezno vsebuje pogodba

Eden od načinov, kako zmanjšati tveganje, je, denimo, zagotavljanje varnostnih kopij, ki jih za podjetje sproti pripravlja zunanji izvajalec. Vprašanje pa je, ali bomo ob morebitnem stečaju ali celo ob prenehanju poslovanja zunanjega izvajalca lahko prišli do svojih podatkov na varnostnih kopijah oziroma ali smo sploh lastniki podatkov, glede na to, da se ti fizično hranijo pri našem zunanjem dobavitelju.

Vsa ta vprašanja si moramo zastaviti že pri sklepanju posla, predvsem pa pri podpisovanju pogodbe z zunanjim izvajalcem. Pogodba naj vsebuje:

- pravne in poslovodske plati pogodbenega odnosa med naročnikom in zunanjim izvajalcem;

- podrobnosti v zvezi z zagotavljanjem storitev;

- specifikacijo pričakovane ravni storitev, od količine do njene kakovosti in trajanja (ali želimo, na primer, poslovodni sistem najeti za 24 ur sedem dni na teden ali zgolj od 7. do 16. ure pet dni na teden);

- stroške storitev in specifikacijo njihovega obsega, plačilne pogoje in roke plačil;

- možnosti spreminjanja cen (priporoča se posebna cenovna priloga k pogodbi in ne splošen referenčni cenik, na katerega naročnik storitev nima vpliva);

- postopke reševanja operativnih težav (pravica dostopa do sistemov, beleženje izpadov, nevarnih incidentov, posegov posameznikov z visokimi pooblastili ipd.);

- pogodbene kazni zaradi neupoštevanja pogodbenih določil;

- postopke spreminjanja in prekinitve pogodbe;

- vlogo in odgovornost naročnika;

- postopke za zagotavljanje neprekinjenega poslovanja (ob incidentih, morebitnem prenosu procesiranja k tretji osebi, prehodu na poslovanje z alternativne lokacije ipd.);

- odgovornost za podatke (lastništvo oz. skrbništvo podatkov) in druge varnostne zahteve za varovanje informacij;

- postopke in pogostost komuniciranja naročnika in dobavitelja;

- trajanje pogodbe;

- zagotovilo o tajnosti podatkov in informacij;

- pravico do revizijskega pregleda pri dobavitelju;

- način procesiranja osebnih podatkov (opredelitev vrste obdelav, zbirk podatkov in njihovega hranjenja, zagotovitev revizijske sledi obdelav).

V času trajanja pogodbenega odnosa z zunanjim izvajalcem IT storitev je treba v podjetju redno spremljati stroške njegovih storitev. Primerna je npr. uporaba kazalnika stroškov po dobavitelju in v odnosu na vse stroške, ki jih podjetje namenja za poslovno informatiko. V sistem nadzora nad delom zunanjih izvajalcev vsekakor velja vključiti še nadzor nad dodeljevanjem oddaljenih dostopov oz. sploh dostopov do produkcijskih podatkov v podjetju ter načinom uvajanja sprememb v programsko in strojno opremo, ki jo upravlja/vzdržuje zunanji izvajalec.

Alen Mitrović, CISA - revizor informacijskih sistemov