Owszem, możecie oszczędzać pieniądze, współpracując z firmą outsourcingową z dalekich krajów. Ale nie zakładajcie, że zastosuje zabezpieczenia chroniące wasze dane przed ich kradzieżą. Zamiast tego postępujcie zgodnie z tymi zaleceniami, żeby mieć pewność, że wasze relacje przyniosą zysk i będą bezpieczne.

Oto jak wygląda życie pracownika Tata Consultancy Services (TCS), indyjskiego dostawcy usług IT, który współpracuje z dużą amerykańską firmą ubezpieczeniową (w tym przypadku CNA): Gdy przychodzisz do pracy, twoja torba zostaje przeszukana. Ty często też. Oddajesz swój telefon komórkowy strażnikom - odbierzesz go, wracając do domu. Gdy siadasz przy swoim biurku, nie ma tam już śladów papierów, nad którymi pracowałeś poprzedniego dnia - zostały zniszczone poprzedniej nocy. Nie staraj się skopiować zdjęć swoich bliskich jako tapety na pulpit: nie możesz kopiować plików. Na biurku jedynie telefon, który łączy cię tylko z help deskiem, i komputer ze stacjami dyskietek i CD-ROM, które działają, ale wówczas, gdy to ty siedzisz przy komputerze - podobnie jak Internet i e-mail. A pomysł zabrania kopii tajnych dokumentów CNA, żeby dokończyć pracę w domu, będzie kosztować cię utratę pracy, o czym przekonał się ostatnio jeden z pracowników. "Dane oraz procedury są zbyt wrażliwe. Nie stać nas na ignorancję" - tak twierdzi Scott Sysol, dyrektor ds. systemów bezpieczeństwa CNA.

Zobacz również:

• GenAI jednym z priorytetów inwestycyjnych w firmach
• Szef Intela określa zagrożenie ze strony Arm jako "nieistotne"
• International Data Group powołuje Genevieve Juillard na stanowisko CEO

Eksperci nie są przekonani co do skali dodatkowego ryzyka związanego z zagranicznym outsourcingiem. Jednak firmy takie jak CNA, gigant ubezpieczeniowy, który powierzył swoje delikatne dane finansowe i te dotyczące opieki zdrowotnej firmie TCS, chcą czuć się bezpiecznie, gdy wysyłają zlecenia na drugą stronę globu. Ustalają ostre procedury kontroli z podwyższonymi zabezpieczeniami IT. To kosztuje i wywołuje niezadowolenie firm outsourcingowych, jednak jest to najlepszy sposób na ograniczenie ryzyka związanego z przenoszeniem pracy w inne regiony świata.

Nie wszystkie firmy potrzebują tak wzmożonej kontroli jak CNA. Decyzje o tym, jakie kroki należy podjąć, aby utrzymać odpowiedni poziom bezpieczeństwa, należą do CIO i CSO. Oni również są odpowiedzialni za późniejsze monitorowanie przestrzegania zaleceń w firmach outsourcingowych. To brzmi jak truizm, ale okazuje się, że bezpieczeństwo przy współpracy z dostawcami usług jest klasycznym przykładem powiedzenia: co z oczu, to z serca. "Powiedziałbym, że mniej niż 20 procent moich klientów monitoruje ich usługodawców" - twierdzi Atul Vashistha, CEO w firmie NeoIT, doradzającej w sprawach outsourcingu. "Przeważnie akceptują zdefiniowane przez dostawców plany zabezpieczeń i nie sprawdzają, czy są one przestrzegane". Steven DeLaCastro, konsultant Tatum Partners, uważa, że jest to nawet mniej niż 10 procent, pomimo iż w USA obowiązuje tzw. ustawa Sarbanes-Oxleya z 2002 r., która nakłada obowiązek monitorowania firm outsourcingowych, z którymi nasza firma podpisała umowy.

Bezpieczeństwo ważniejsze od kary

Amerykańskie przedsiębiorstwa regularnie nie doceniają dodatkowych współczynników ryzyka, pojawiających się przy porównaniu kosztów przeniesienia swoich operacji za ocean. Są one na przykład wywołane słabo rozwiniętą infrastrukturą, niestabilnością polityczną czy systemami prawnymi, które nie odpowiadają zachodnim standardom, twierdzi Ken Wheatley, wiceprezydent oraz CSO Sony Electronics. "Ludzie są tak skupieni na oszczędzaniu pieniędzy i przenoszeniu swoich operacji, że nie dostrzegają konieczności zapewnienia bezpieczeństwa. Uznają, że ludzie w innych krajach myślą tak samo i mają takie same procedury bezpieczeństwa, a to nie jest prawdą".

W rzeczywistości problem zależy od prawa i środowiska pracy obowiązujących w danym kraju. Na przykład Indie. Przemysł IT, świadom obaw Zachodu związanych z bezpieczeństwem, od 1998 pracuje nad ustawami dotyczącymi ogólnego bezpieczeństwa danych i ich prywatności, które zniwelowałyby różnice dzielące ten kraj od Stanów Zjednoczonych i Europy. I pomimo uchwalenia praw zabraniających majstrowania przy kodach źródłowych programów czy hakerstwa, własność intelektualna oraz zabezpieczenia danych nadal nie podlegają odpowiednim rygorom prawnym.

Nawet jeśli zostaną wprowadzone ostrzejsze prawa, a analitycy tak przewidują, przeniesienie ich poza granice kraju będzie bardzo trudne. Ostatecznie i tak liczyć się będą jedynie stosunki pomiędzy waszą firmą a firmą outsourcingową. "Prawo dostarcza jedynie kary" - uważa Venugopal Iyengar, dyrektor e-bezpieczeństwa w firmie konsultingowej Tata Consultancy Services. "Ostatecznie to, czego nam potrzeba, to gwarancja bezpieczeństwa na podstawie procedur i praktyk. Ta pewność jest ważniejsza od kary".

Nawet najbardziej wyszukane procedury bezpieczeństwa nie wymażą zysków otrzymywanych przez przeniesienie interesów firmy poza granice kraju. Natomiast przedsiębiorstwa prowokują los, nie szacując ryzyka z tym związanego i jego tolerancji i nie wprowadzając kosztów tego do rozrachunku.

W tym artykule spojrzymy na ryzyko związane z outsourcingiem i przedstawimy najlepsze praktyki w celu jego oszacowania i zminimalizowania.

Kategorie ryzyka

Menedżerowie powinni wziąć pod uwagę opisane poniżej kategorie ryzyka, zanim przystąpią do negocjacji poziomu zabezpieczeń z zewnętrznym dostawcą usług.

Rodzaj pracy wykonywanej przez kontrahenta. Z dwóch kategorii pracy związanej z przemysłem IT: rozwojem oprogramowania i przetwarzaniem danych biznesowych, ta druga jest bardziej ryzykowna, ponieważ wymaga udziału i interakcji większej liczby ludzi oraz skupia się na bardziej wrażliwych danych. W pracy związanej z oprogramowaniem główne ryzyko związane jest z kradzieżą własności intelektualnej. W niektórych rozwijających się państwach - tu należy zwrócić uwagę na Singapur - już obowiązują prawa autorskie. Ponadto są one łatwiejsze do ochrony przy dobrze zarządzanej ochronie zarówno w sferze fizycznej, jak i IT, w przeciwieństwie do danych biznesowych.

W przypadku danych, ryzyko w Stanach Zjednoczonych jest mierzone przez ustawy (np. Accountability Act czy Sarbanes-Oxley Act) oraz przez straty finansowe, jakie wynikłyby, gdy zostałyby one stracone lub skradzione. Czy to nowe oprogramowanie, nad którym pracujecie, jest dla firmy sprawą życia lub śmierci? Jeśli tak, powinniście przedsięwziąć wszelkie możliwe środki ostrożności. A może jesteś fabryką, która przekazuje firmie outsourcingowej serwis czy prowadzenie danych, które nie są krytyczne dla działalności twojej firmy? W takim przypadku stopień ryzyka jest znacznie niższy.

Struktura twojego modelu współpracy z partnerami. Pionierzy systemu offshore - General Electrics i Citibank - wybudowały swoje firmy zależne w Indiach w latach 90., ponieważ uznały, że partnerzy na lokalnych rynkach nie sprostają ich wymaganiom. Eksperci nadal jednak uważają, że zatrudnianie własnych pracowników i ustalanie własnych procedur jest bezpieczniejsze niż powierzenie tego firmie outsourcingowej, pomimo iż dostawcy usług - zwłaszcza w Indiach - dotarli już w kwestiach bezpieczeństwa do poziomu firm zachodnich.

Firmy outsourcingowe, które stanowią 30 procent zatrudnienia w tej gałęzi usług oraz 50 procent dochodów z outsourcingu w Indiach, mają według A.T. Kearney więcej minusów niż plusów. Są drogie i wymagają, aby pracownicy z głównego oddziału firmy przeszkolili lokalnych zatrudnionych, sprawdzali ich pracę oraz czuwali nad działaniem zgodnie z zasadami organizacji. Wymaga się od nich również, aby sprawdzali rynek pracy w celu wyłowienia z niego najzdolniejszych pracowników, co jest utrudniane przez lokalnych łowców talentów.

Coraz więcej przedsiębiorstw korzysta z usług zewnętrznych firm. Rezygnują z pomysłów tworzenia własnych firm zależnych czy tworzenia spółek joint venture, jak twierdzi A.T. Kearney. To jednak wymaga kontroli klienta. Niektóre firmy zewnętrzne korzystają z usług podwykonawców, którzy wykonują za nich prace dla klientów, czasem bez wiedzy tychże. Bez bezpośredniej kontroli klienta, podwykonawcy mogą utworzyć dużą dziurę w zabezpieczeniach.

Twoja tolerancja ryzyka. Przedsiębiorstwa niezwiązane z oprogramowaniem, usługami finansowymi czy przemysłem zdrowotnym nie generują dużego ryzyka przy przekazywaniu danych IT czy biznesowych do firm outsourcingowych. Niektórzy mimo to podwyższają stopień zabezpieczeń, ponieważ taka jest polityka firmy. BNSF Railway, która korzysta z outsourcingu w związku z serwisem sprzętu, jest przykładem na małą tolerancję ryzyka. Spółka nie wysyła danych biznesowych, mimo że większość jej kapitału stanowią lokomotywy, a nie komputery. BNSF nie uznaje aktualnie panujących standardów zabezpieczeń danych za wystarczające i czułaby się niekomfortowo, udostępniając swoje dane zewnętrznym usługodawcom.

Przykładem - połączenia sieciowe z partnerami outsourcingowymi. Większość klientów firm outsourcigowych godzi się na podłączenie do ogólnego strumienia danych, w którym dane klientów są segregowane i oddzielane od siebie. Eksperci zabezpieczeń zgadzają się, że taki sposób przesyłania danych jest bezpieczny. Ale nie BNSF. "Zaczęliśmy, korzystając z współdzielonego kanału, ale to nas ograniczało" - mówi Beth Bonjour, asystent zastępcy prezesa BNSF. "Nie podobało nam się, że dostawca usług ma dostęp do naszych systemów produkcji przez takie łącze". BNSF zrezygnował z niektórych usług, które zostały mu zaoferowane w przypadku korzystania z współdzielonego łącza. Ostatecznie zostało ustalone, że BNSF dostanie własne łącze (przeważnie kosztuje to o ok. 50 procent więcej według Forrester Research). BNSF przekazał firmie outsourcingowej tylko część serwisu i utrzymania niektórych swoich urządzeń ze znaczącymi oszczędnościami. "Dzięki temu zyskujemy więcej niż na początku" - twierdzi Bonjour.

Pięć najlepszych praktyk

Gdy już rozwiążesz problem relacji z partnerem outsourcingowym, przestrzegaj tych pięciu najlepszych zasad:

1 Kontroluj

W swoich relacjach z outsourcingowymi partnerami, przedsiębiorstwa, takie jak BNSF czy CNA, utrzymują kontrolę nad bezpieczeństwem. To oni ustalają zasady, to oni wymagają odpowiedniej infrastruktury. W swoich kontraktach wyraźnie zaznaczają, jak pracownicy ich kontrahentów będą korzystać z sieci komputerowej łączącej obie firmy i jaka część infrastruktury IT będzie przeznaczona tylko dla nich. To oni też przeprowadzają kontrole poziomu zabezpieczeń i sprawdzają pracowników tuż po tym, jak firma outsourcingowa sprawdzi ich swoimi sposobami.