Utrzymanie poziomu kontroli nie zawsze jest łatwe, zwłaszcza gdy kontrakt został już podpisany. "Spotykam się z tym przy współpracy z większymi firmami świadczącymi dla nas usługi. Oni zakładają, że wszystkie ich metody są wypróbowane. I często są" - twierdzi Wheatley z Sony. Ale gdy Wheatley dopytuje się o szczegóły, powstają problemy. "Odpowiedź często brzmi: Dlaczego podejrzewa Pan nas o niekompetencje? Przecież współpracujemy z (i tutaj pojawia się nazwa jakiejś znanej firmy). A Pan przychodzi i stawia nam jakieś zarzuty. Ale gdy wchodzimy i sprawdzamy ich procedury, w 100 procentach przypadków znajdujemy poważne niedociągnięcia".

Zarówno CNA, jak i BNSF zatrudniają ludzi, którzy zajmują się bezpieczeństwem i monitorowaniem współpracy z parterami outsourcingowymi. Obie firmy również zarządzają siecią, w której działają pracownicy kontrahentów, dostarczają też oprogramowanie. Monitorują wykorzystanie sieci i stosują te same zasady co dla swoich własnych pracowników.

To nie jest tanie. Przy zlecaniu przetwarzania danych biznesowych, które są wyjątkowo cenne i opierają się szczególnie na zaufaniu do ludzi, koszty zabezpieczeń mogą pożreć od 15 do 19 procent spodziewanych zysków, szacuje Tower Group - firma konsultingowa. W przypadku pracy nad oprogramowaniem, które nie wymaga dostępu do tak ważnych danych, koszt redukcji ryzyka to 6 do 10 procent oszczędności. Jednak jak widać nawet przy najostrzejszych zabezpieczeniach, nadal inwestycja przynosi zysk.

Zobacz również:

• GenAI jednym z priorytetów inwestycyjnych w firmach
• Szef Intela określa zagrożenie ze strony Arm jako "nieistotne"
• International Data Group powołuje Genevieve Juillard na stanowisko CEO

2 Najpierw sprawdź, z kim będziesz współpracował

Sprawdź, to nie oznacza: przeczytaj ulotkę i obejrzyj prezentację PowerPointa. Nie oznacza też bezkrytycznego akceptowania faktu, że usługodawca postępuje zgodnie z międzynarodowymi standardami, choćby takimi jak COPC (organizacja wydająca certyfikaty w zakresie centrów obsługi klienta) czy Safe Harbor (sprawdza zgodność z przepisami dotyczącymi bezpieczeństwa danych na terenie UE).

Przy szybkim rozrastaniu się firm oraz dużym obrocie, opinie klientów szybko tracą na aktualności. Co gorsze, niektórzy klienci firm outsourcingowych nie przyznają się do występowania problemów z zabezpieczeniami danych, ponieważ same obawiają się, iż wpłynie to na opinię ich klientów i stracą pozycję na rynku. To tłumaczyłoby, dlaczego tak mało firm odpowiedziało na propozycję podzielenia się na naszych łamach swoimi doświadczeniami.

Spółki, z którymi rozmawialiśmy, powiedziały, że korzystają z usług konsultantów ds. ochrony, których pracownicy rozmieszczeni są w miejscach, gdzie operują firmy outsourcingowe i dostarczają raporty na temat ich reputacji oraz informacje dotyczące ich pracowników. Firmy konsultingowe zatrudniają też prawników w tych krajach.

Ci sprawdzają, czy firma jest wypłacalna i czy jest w stanie wywiązać się z warunków umowy.

Sporządzenie pełnego raportu na temat przyszłego kontrahenta jest czasochłonne - ostrzega Wheatley. "Ludzie oglądają za dużo programów w telewizji. Myślą, że potrafimy znaleźć odpowiedzi na pytania o ochronę w ciągu 12 godzin" - mówi. "To nie tak działa. 70 do 80 procent czasu zajmuje nam znalezienie powodu, dla którego nie powinno się podpisywać umowy lub zerwać ją, jeśli została już wcześniej podpisana. Potem próbujemy znaleźć rozwiązanie. Czasem dwa tygodnie przedłużają się do czterech miesięcy. Sprawdzenie tego wszystkiego naprawdę może zabrać dużo czasu".

3 Zabezpiecz infrastrukturę

Od 2002 r., gdy CNA zaczęło wysyłać dane biznesowe oraz związane z oprogramowaniem, przejęło całkowitą kontrolę nad sprzętem komputerowym u swoich outsourcerów. Skonfigurowali serwery, laptopy i pecety, instalując oprogramowanie, jakiego używają pracownicy firmy, jeszcze przed wysłaniem ich za ocean. Specjalny zespół poleciał do Indii w celu ustawienia wszystkiego oraz bezpośredniego podłączenia z komputerami w Stanach. Firewalle ustawione po obu stronach oceanu chronią przed wirusami, które mogłyby się dostać do sieci lokalnej. Gdy pracownicy firmy outsourcingowej logują się do sieci, komputer automatycznie ściąga wszystkie nowsze wersje oprogramowania zabezpieczającego sieć z serwerów CNA, oczywiście po zweryfikowaniu użytkownika.

Nowe oprogramowanie Microsoftu do wirtualnego sterowania przenosi cały proces na nowy poziom. CNA używa programu VM ACE do stworzenia obrazu - w praktyce działającego duplikatu - swojego ustawionego odpowiednio oprogramowania komputera, który następnie nagrywany jest na CD i wysyłany do firm outsourcingowych. Gdy ich pracownicy rozpoczynają pracę, klikają dwukrotnie na ikonę, dzięki czemu pojawia się wirtualny pulpit CNA, który przejmuje kontrolę nad komputerem i jego podzespołami. Od tego momentu pracownicy nie mogą nic skopiować na wirtualny pulpit ani nic stamtąd zabrać.

4 Przeprowadzaj regularne kontrole

Kontrakt z firmą outsourcingową jest jak dyplomatyczne porozumienie. Zaufanie jest ważne, ale co jakiś czas konieczne jest jego sprawdzenie. BNSF przeprowadza niezależne kontrole swoich kontrahentów raz na kwartał, jak twierdzi Bonjour. Spółka sprawdza również prawa dostępu pracowników do danych BNSF oraz wewnętrznych danych outsourcera, aby się upewnić, że nie mają wstępu tam, gdzie nie powinni go mieć, oraz że po przesunięciu ich do pracy nad nowym projektem nie mają już dostępu do starego.

Są standardy, które wspomagają procedury kontrolne. Na przykład standard ISO 17799.

Jednak ze względu na dodatkowe koszty związane z wprowadzeniem kontroli zewnętrznych według takich standardów usługodawcy mogą się wzbraniać przed ich wprowadzeniem, twierdzi DeLaCastro z Tatum Partners. "Jeśli każdy klient miałby prawo do kontroli oraz każdy wymagałby specyficznych procedur, stwarza to tysiące wariantów i likwiduje możliwość ujednolicenia praktyk w firmie oraz wymiany pracowników zatrudnionych przy różnych klientach" - twierdzi DeLaCastro. Łatwiej jest ustalić procedury kontroli przed podpisaniem umowy niż po tym, gdyż może to podwyższyć koszty usługodawcy.

Kontrola powinna wykraczać poza procesy biznesowe. Ważne jest, aby przejść się również po budynku, w którym wykonywane są zlecenia, i upewnić się, że jest fizycznie zabezpieczony.

"Znane firmy outsourcingowe zaprowadzą cię do nowoczesnego, zabezpieczonego budynku, ale ważne jest, aby upewnić się, że cała praca faktycznie jest w nim wykonywana" - radzi DeLaCastro. A stare budynki mogą nie mieć zabezpieczeń na wypadek awarii zasilania, systemów przeciwpożarowych czy bezpośrednich połączeń z policją. Ponadto kontrahent powinien pokazać drugi budynek, w którym praca będzie wykonywana w przypadku problemów z pierwszym.

Ważne jest, aby pracownicy zatrudnieni nad twoimi danymi nie współdzielili przestrzeni z ludźmi pracującymi nad innymi projektami. Powinna istnieć fizyczna przegroda, najlepiej z wejściem na identyfikator i pod kontrolą kamer wideo. Na koniec każdego dnia wszystkie notatki zawierające ważne informacje powinny być niszczone. Ponadto wszystkie urządzenia, którymi można by wysłać takie informacje (telefony komórkowe, pagery czy palmtopy), powinny być zdawane przy wejściu.

5 Na koniec spójrz na siebie

Jeśli wymagasz wysokiego stopnia bezpieczeństwa u kontrahentów, upewnij się, że w swojej firmie również o to dbasz. "Jeśli twoje informacje IT są źle przekazywane, są większe szanse, że będziesz miał problem z zewnętrznymi firmami" -uważa Richard Isaacs, zastępca prezesa firmy konsultingowej Lubrinco Group. "Jeśli prowadzisz niedbały sklep u siebie, zastaniesz taki sam u innych".

Zrozum, gdzie wykonywane są twoje projekty. Patrząc na rynki Ameryki, Azji i Europy, świat wydaje się być jednym wielkim rynkiem outsourcigu. Jednak ważne jest, aby dostrzec i zrozumieć również geopolityczną sytuację twojego kontrahenta.

Trudno sobie wyobrazić zagraniczny rząd wkraczający do firmy i żądający dostępu do oprogramowania i danych, ale to się już zdarzyło. W 2000 r. chiński rząd ustalił, że każde oprogramowanie będące zabezpieczone musi zostać zarejestrowane wraz ze wszystkimi, którzy z niego korzystają. Ponadto każde oprogramowanie używane w Chinach musiało zawierać zabezpieczenia wyprodukowane w Chinach. Ostatecznie rząd uchylił dekret, jednak jeśli pozostałby on w mocy, zagraniczne firmy mogłyby spodziewać się zagrożenia szpiegostwa przemysłowego ze strony rządu.

Firmy konsultingowe doradzające w sprawach bezpieczeństwa specjalizują się w ustalaniu politycznego zagrożenia w sprawach outsourcingu. "Chcesz zrozumieć możliwości i upodobania rządów różnych państw w związku z twoimi danymi oraz szanse na to, że usługodawca będzie się im podporządkowywał" - przestrzega Kelly Kavanaugh, analityk z Partner. "Niektóre państwa są łapane na szpiegostwie przemysłowym przeciwko firmom amerykańskim. To nic nowego".

Tłumaczenie z amerykańskiej edycji CIO

Opracował Piotr Grzegorzewski