IT-säkerhet i outsourcing
I denna artikel tittar vi närmare på vilka IT-säkerhetstjänster du normalt kan förvänta är standard i ett IT-driftskontrakt.
Privata och offentliga verksamheter förväntas att ständigt öka kraven på IT-säkerhet för att kunna möta en alltmer sofistikerad hotbild. Samtidigt är verksamheterna i allt större utsträckning beroende av IT för sin kärnverksamhet. IT-miljön blir också alltmer komplex. Utmaningarna blir då såklart väldigt stora.
Vad innebär då själva begreppet IT-säkerhet? Ofta så avses en kombination av att säkerställa tillgänglighet, sekretess och integritet. Det som behövs är en kombination av teknologi, verktyg, processer och de rätta kompetenserna. Det gäller här att löpande ha en uppdaterad bild om de hotbilder som verksamheten står inför och vilka instrument som kan säkerställa att hoten förblir just hot och inte realiteter. Detta gäller även för verksamheter som outsourcar sin infrastukurdrift till externa leverantörer.
I den här artikeln går vi igenom de IT-säkerhetstjänster som du rimligen kan förvänta är standard i ett IT-driftskontrakt. Använd det som en checklista för din interna beredskap om du inte har outsourcat eller i förhandling med din leverantör för att säkerställa en viss nivå av säkerhet.
Det är vår rekommendation, oavsett storleken på verksamheten eller bransch, att de tjänster som beskrivs i den här artikeln finns inkluderade i ditt outsourcingkontrakt.
Säkerhetsnivån vid outsourcad IT-drift
Det är vår generella uppfattning att den nivå av säkerhet i IT-driften som en outsourcingleverantör kan leverera som standard, normalt är ett gott svar på de säkerhetshot som de flesta verksamheter står inför. De flesta professionella leverantörer har specialiserat sig inom området, utvecklat verktyg, kompetenser och processer för säker drift av IT-infrastruktur. Det kan till exempel vara svårt för mindre verksamheter att rekrytera och behålla personal och kompetenser, vilket däremot en professionell leverantör kan förväntas ha processer för. IT-säkerhet kan därför vid många tillfällen vara en av flera faktorer som gör att man väljer att outsourca, för att den vägen få tillgång till en bättre och konsistent säkerhetsnivå för verksamhetens IT-drift.
Den viktiga standardiseringen
Det är värt att notera att säkerheten generellt ökar med graden av standardisering. En leverantör försöker till exempel ofta samla och standardisera driften där det är möjligt. Det innebär att drift av exempelvis Windows-servrar samlas i större kluster, där säkerhetspatchar, operativsystem, firewalls, virusprogram etc installeras och uppdateras utifrån väl definierade processer. Det ger i slutändan möjligheten att skapa en stabil och konsistent drift.
I det ögonblick du avviker från standard och köper specialtjänster, exempelvis dedikerade miljöer med speciella driftstjänster, kan det bli svårare för leverantören att leverera samma höga nivå av säkerhet över tid. Speciella och kundspecifika tjänster ger alltså inte nödvändigtvis en högre nivå av säkerhet och det blir vanligtvis dyrare.
För de allra flesta verksamheter gäller alltså att standardisering bör prioriteras och vara i fokus när man ingår ett outsourcingkontrakt. I många fall bör verksamheten också försöka anpassa sig till leverantörens standard. Omvänt bör man som ansvarig för verksamhetens IT-säkerhet ha klara motiv för att kräva speciella säkerhetstjänster, som avviker från leverantörens standardleverans.
Innan vi kommer till vilka IT-säkerhetstjänster du bör kunna förvänta dig är inkluderade i leverantörens standard-IT-driftskontrakt, är det viktigt att du begrundar verksamhetens situation: Är du i begrepp att ingå ett nytt outsourcingavtal eller är det ett existerande pågående?
När du ingår ett nytt outsourcing IT-driftskontrakt
I lägen då din verksamhet står inför att ingå ett nytt IT-driftskontrakt, bör du överväga ditt nuvarande drift-setup och värdera om det är möjligt att öka standardiseringsgraden. Gå igenom dina existerande säkerhetsåtgärder och – aktiviteter och bedöm hur de passar samman med en framtida leverantörs standardmodell.
Om det finns åtgärder och aktiviteter som ligger utanför leverantörens standard, bör du värdera om det är ett utryck för ”legacy” eller om det faktiskt är aktiviteter och åtgärder som det finns ett reellt behov för. Kom ihåg att ju mer standardiserat avtal du kan ingå med leverantören, desto enklare blir det för leverantören att leverera en IT-drift baserad på dennes ”standardleveransapparat”. Vanligtvis med högre säkerhet och lägre kostnader som följd.
I de fall ditt nuvarande setup inte har underhållits i tillräcklig utsträckning (löpande utbyte av utrustning, uppgradering till nyare versioner av operativsystem och databaser, installation av alla säkerhetspatchar etc) kan det vara värt att notera att leverantören, med hänvisning till upprätthållande av säkerheten, kan bli nödsakad att avvisa delar av din IT-infrastruktur, eller i varje fall kräva att den moderniseras.
Om det är första gången du outsourcar kan det innebära att du blir tvungen att ta din IT-miljö upp till en viss standard och genomföra en rad transformationsaktiviteter innan leverantören övertar din IT-infrastruktur.
När du har ett existerande pågående IT-driftskontrakt
Ett centralt element om du redan har ett existerande IT-driftskontrakt är att följa upp så att verksamheten verkligen får de säkerhetstjänster som avtalats i kontraktet. Levrantören bör löpande rapportera om de tjänster som ingår som standard i kontraktet. Det kan vara i form av en rapport eller som ett möte där följande punkter ingår på agendan:
- Säkerhetsrelaterade händelser och hur de har hanterats
- Säkerhetspatchar som blivit installerade samt eventuella aktiviteter kring patchar som inte blivit installerade
- Status på förebyggande underhåll på utrustning
- Input till framtagande och löpande uppdatering av riskvärdering
Uppföljningen på den levererade säkerheten är endast här kort beskriven.
Nu följer en samlad överblick av de IT-säkerhetstjänster som du kan förvänta ingår som standard i ett outsourcing IT-driftkontrakt.
Standardiserade IT-säkerhetstjänster i ett IT-driftskontrakt
Genomgången av standard IT-säkerhetstjänster som du kan läsa om här nedan bygger på Zangenberg Analytics’ benchmarkingmodell (som är den Elucidate använder sig av). Du återfinner elementen i dataarket för benchmarking, som bryter ned ett outsourcingkontrakt i specifika tjänstekomponenter och krav på processer. Som utgångspunkt bör de tjänster som finns med i dataarket vara inkluderade i ett outsourcingkontrakt utan merkostnader. I denna artikel ser vi specifikt på de tjänster som har med säkerhet att göra.
De IT-säkerhetstjänster som bör vara knutna till drift av IT-infrastruktur kan delas upp i följande fyra områden (domäner):
- Server- och storagedrift
- Applikationer och databaser
- Nätverk
- Workstation
Dessa domäner utgör vad vi betecknar som basal infrastrukturdrift. VI har inte inkluderat områden som applikationsunderhåll, -utveckling, mainframe eller andra speciella driftstyper i denna artikel. De finns dock med i dataarket för benchmarking.
Härnäst går vi igenom vart och ett av de fyra områdena och de IT-säkerhetstjänster som är att betrakta som standard.
IT-säkerhetstjänster i basala driftsdomäner
1.0 IT-säkerhetstjänster i basala driftsdomäner
Vid outsourcing av den basala IT-infrastrukturen, där server och storagedrift ingår, bör du som kund förvänta att leverantören erbjuder en generell assistans i framtagande av din verksamhets säkerhetsvärdering. Den bör ta utgångspunkt i din miljö och hur den kan infogas i leverantörens standardmodell.
Hela den fysiska säkerheten för datacentret bör också beskrivas och vara avklarat för sådant som åtkomstkontroll, brand, översvämning, ström, jordbävning etc. En tvådatahallslösning kan förväntas som standard så att det vid större katastrofer går att komma igång med drift och backup från en sekundär lokation. Dock är en dedikerad speglad setup med s.k. hot switch och active failover inte att betrakta som standard och kommer att kosta mer om du önskar ha det.
För server och storagedrift bör nedanstående säkerhetsrelaterade tjänster vara inkluderade:
1.1 Server and storage management
| 1.1.1 | Enterprise management – participation in the architecture, planning, test, implementation and integration of solutions |
| 1.1.2 | Asset management – hardware inventory management |
| 1.1.3 | Security services – security policy development, incident tracking, intrusion detection, compliance management and antivirus management |
| 1.1.4 | Distaster/recovery (DR) planning – planning and testing support |
1.2 Systems management
| 1.2.1 | Identity management |
| 1.2.2 | Problem determination and root cause analysis |
| 1.2.3 | Preventive software maintenance |
| 1.2.4 | Capacity management, capacity trending analysis |
| 1.2.5 | Data backups and backup storage management (system) |
1.3 Maintenance
| 1.3.1 | Maintenance of server and SAN hardware, operating systems and repairs, whether or not these are covered by a warranty |
2.0 Applikationer och databaser
Utmaningarna vad gäller säkerhet inom dessa två domäner är dels knutna till leverantörens tjänster, dels till sårbarheten i kundens applikationer och databaser. En väsentlig del av ansvaret ligger hos den part som utvecklar och underhåller applikationerna och databaserna. Om man som kund har en miljö som innebär att leverantören driftar applikationer och databaser som är föråldrade (där t ex säkerhetsuppdateringar inte är installerade), då ligger ansvaret för den delen av säkerheten hos kunden själv.
Som kund bör du alltså innan outsourcing av infrastrukturen säkerställa att applikationer och databaser är ”up-to-date” och utan väsentliga sårbarheter, vilket annars kommer att vara en sårbarhetslucka för verksamhetens hela IT-miljö.
Leverantörens IT-säkerhetstjänster relaterade specifikt till driften av applikationer och databaser är:
| 2.1 | Manage problems |
| 2.2 | Backup and restore |
| 2.3 | Installations and upgrades |
3.0 Nätverk
Tjänsterna inom detta område omfattar underhåll och övervakning samt felsökning och felrättning på verksamhetens nätverk. Det bör vara standard att leverantören övervakar nätverksnoder som routers, switchar, firewalls, cache-servrar, load balancers med mera. Dessutom är följande IT-säkerhetstjänster att betrakta som standard:
| 3.1 | Software and patch management |
| 3.2 | Hardware maintenance |
Workstation
Workstation-säkerheten är kopplad till säkerheten i nätverk, server/storage och applikationer. Sårbarheter i dessa områden kan också få konsekvenser för Workstation-säkerheten. För Workstation-tjänster bör följande säkerhetsrelaterade tjänster vara inkluderade:
| 4.1 | Hardware maintenance |
| 4.2 | Software distribution |
| 4.3 | Service management |
Slutord
De här genomgångna standardtjänsterna kan med fördel användas vid tecknandet av nytt sourcingavtal eller vid en revision av sådant. Använd detta som utgångspunkt i dialogen med er leverantör och kom ihåg att dessa tjänster bör en mogen leverantör kunna leverera som en del av en standardiserad tjänst till ett marknadsmässigt pris. Kom också ihåg att ju färre särskilda, unika, krav på säkerhet, desto lägre pris kan förväntas, allt annat lika. Det blir då även enklare för leverantören att tillhandahålla den säkerhet som avtalats.
Källa: Quarterly Analytics, http://quarterlyanalytics.dk/