Netvaerk-forbindelser-Jaynet

IT-sikkerheden kan opgraderes ved outsourcing

IT-sikkerhed-outsourcing

De seneste år har "security" været det IT-område, der har haft den største vækst både på lokalt og globalt plan. Trusselsbilledet udbygges løbende, skandalerne skræmmer og lovgivningen skærpes. Men hvordan tackler din virksomhed bedst sikkerheden i fremtiden. Her er nogle gode råd fra en erfaren IT-advokat.


Både omfang og kompleksitet vokser

Den stigende kompleksitet og vækst inden for IT-sikkerhed illustreres tydeligt af en række nye specialer med fokus på dette område. Vi har fx længe haft erhvervs-, familie- og boligadvokater, og senest har vi så også fået certificerede IT-advokater. Pia Jee Skou Eilertsen, NOVI Advokater, er bestyrelsesmedlem i brancheorganisationen Danske IT-Advokater, certificeret IT-advokat og altså specialist indenfor IT-ret, herunder IT Outsourcing. Hun oplever derfor udviklingen på området på meget tæt hold:

"Der er ingen tvivl om, at der er behov for at højne den professionelle standard på alle områder inden for IT-sikkerhed", mener Pia Jee Skou Eilertsen. "IT overtager stadig flere og flere kritiske processer i virksomhederne, og i dag består en række brancher, fx finansvirksomheder, stort set kun af IT. Nye teknologier kræver nye, højt specialiserede rådgivere, der altid er up-to-date. Det burde bankerne kunne håndtere, men hvad med fx SMV'erne med 1-2 IT-blæksprutter?"

 

Skærpede EU krav på vej

De mange skandaler med relation til persondataloven (fx vores lokale Nets og Se & Hør sag) har gjort det klart, at virksomheder skal bruge flere ressourcer på IT-sikkerhed. Den ventede forordning fra EU, der formentlig bliver vedtaget i år, vil højst sandsynligt indebære forøgede forpligtelser og bødeniveauer for såvel kunde som leverandør.

"Når virksomheden hoster og drifter egen IT-løsning, skal den selv sørge for, at sikkerheden lever op til kravene i persondataloven og altså også i den nye forordning", fortæller Pia Jee Skou Eilertsen. "Der skal være fuldt styr på hvor data placeres, hvem der har adgang til dem internt og eksternt, backup-procedurer, særligt dokumentation for dette osv. Og med alle de nye platforme, mobile devices, cloud-løsninger m.m. bliver disse opgaver mere og mere komplicerede. Samtidig følges dette af krav til kundernes adgang til kontrol på området, bl.a. via IT-revision. Det kræver mange ressourcer og solide kompetencer at overholde loven, og derfor oplever vi også en markant trend i outsourcing af backup og sikkerhed til specialiserede leverandører."

 

Stor forskel på leverandørernes kvalitet

Ifølge Pia Jee Skou Eilertsen er der en række gode grunde til, at IT-revision vinder så kraftigt frem i disse år: "Går IT-systemet ned, så går de fleste virksomheder i stå. Derfor er en høj IT-sikkerhed inklusiv backup og IT-beredskabsplan afgørende for virksomhedens overlevelsesevne. De bekymrede slutkunder har også behov for at vide, at deres personlige data er i sikre hænder.

Her er IT-revision et godt redskab til at dokumentere, at netværks- og hostingleverandøren lever op til lovens krav. Ligesom loven på visse punkter også kræver, at kunderne har adgang til at foretage en sådan IT-revision. Det er min opfattelse, at der er markante forskelle i det professionelle niveau. Man ser rigtig mange spillere - især blandet de mindre leverandører - som ikke kan leve op til alle kravene i bl.a. persondataloven."

 

Gode råd til outsourcing

Pia Jee Skou Eilertsen har som certificeret IT-advokat mere end 10 års erfaring med at rådgive virksomheder om outsourcing af IT. Hun lægger især vægt på, at man ved outsourcing skal være meget omhyggelig med de krav, man stiller til både den organisatoriske og den fysiske sikkerhed:

"Der er meget stor forskel på de kompetencer og systemer, som netværks- og hostingleverandørerne har opbygget. Noget af det vigtigste er derfor, både af hensyn til evt. lovkrav, men også af forretningsmæssige grunde, at sikre sig ret til at foretage sin egen sikkerheds-vurdering - komme ind og se tingene med egne øjne og evt. foretage en IT-revision", fastslår Pia Jee Skou Eilertsen. "Leverandøren bør supplere adgang til at foretage IT-revision med dokumentation af, at den har relevante certificeringer eller selv kan levere sine egne revisionsrapporter eller dokumentation".

 

Pia Jee Skou Eilertsens forslag til tjek-punkter (IT-revision) i forbindelse med vurdering af netværks- og hostingleverandøren:

  • hvor placeres virksomhedens data (fx en eller flere lokationer, lokalt eller i udlandet)
  • hvorfra kan virksomhedens data tilgås og af hvem (fx supportcenter i udlandet)
  • sikkerhedsprocedurer (fx 2-faktor sikkerhed ved adgang til systemer)
  • krav til adgangsforhold (virtuelt og fysisk, fx irisscanning)
  • firewalls og kryptering
  • krav til overførsel af data, evt. senere flytning af data til ny leverandør
  • krav til back-up, opdatering og sletning af data
  • relevante certificeringer (fx ISAE3402, ISO27001/2, ISO27018)
  • ekstern IT-revision
  • detaljeret dokumentation af hele sikkerhedssystemet (bl.a. Disaster Recovery plan)
  • kundereferencer (gerne inden for de mest sikkerhedskrævende virksomhedstyper som finans)