5 Ulkoistaminen keskeisenä muutostekijänä ja sen tietoturvavaikutuksia

Tämä luku käsittelee ulkoistusta ja siihen liittyviä tietoturvallisuuden perusteita. Ulkoistuksen lyhyt historia antaa lukijalle "syvyyttä" asian käsittelyyn ja akateemisessa tutkimuksessa esitettyjen asioiden ymmärtäminen puolestaan "leveyttä". Luvun loppupuolella esitellään konkreettisia tietoturva- ja muita hyötyjä ja haittoja, joita ulkoistamisesta saattaa seurata.

5.1 Yleistä ulkoistuksesta

5.1.1 Ulkoistuksen lyhyt historia

Ulkoistus (engl. outsourcing) on noussut liike-elämässä esille viimeisen parinkymmenen vuoden aikana. Tosiasiallista ulkoistamista on tehty tätä ennenkin, mutta ratkaisevaan muutokseen vaikutti kaksi seikkaa. Ensiksi yrityksissä alettiin entistä useammin arvioida, kannattaako jokin tuote tai palvelu valmistaa itse. Muutosajurina oli kustannustehokkuus (make-or-buy –analyysit), mutta myöhemmin kuvaan astuivat strategiset asiat. Vaikka oma valmistus saattoi olla kannattavaa lyhyellä aikavälillä, se ei ollut sitä pitkällä tähtäimellä. Pääomien vapauttaminen ja yleinen halu keskittyä ydinliiketoimintaan ajoivat organisaatioita yhä suurempiin ulkoistuksiin.

Toiseksi palvelua tai tuotetta ei ollut välttämätöntä tuottaa itse. Oli syntynyt yrityksiä, jotka kykenivät tekemään tämän. Näiden yritysten ydinliiketoiminta koostui juuri niistä toiminnoista, mitä asiakasyrityksissä ulkoistettiin.

Logistiikan ulkoistus on ehkä ensimmäinen laajasti ulkoistettu toiminto yksityisellä sektorilla. Tietotekniikka on seurannut samanlaista kehitystä kuin logistiikka aikoinaan. Aluksi yrityksillä oli omat osastonsa ja kalustonsa tätä varten, seuraavaksi ryhdyttiin hankkimaan entistä enemmän ulkoisia palveluja ja lopuksi omasta palvelutuotannosta on luovuttu kokonaan. Vain suunnittelu, hankintaosaaminen ja johtaminen on jätetty itselle.

Julkishallinto on seurannut toiminnassa yksityistä sektoria. Perinteet omasta palvelutuotannosta ovat olleet vahvoja, eikä julkisella sektorilla ole mahdollista tehdä vastaavia nopeita järjestelyjä kuin yksityisissä yrityksissä. 1980-luvulla Iso-Britanniassa julkissektoria ryhdyttiin voimakkaasti yksityistämään ja ulkoistamaan. Syyt olivat etupäässä ideologiset, mutta myös käytännölliset. Suomessa kuntien palvelutuotannossa ostopalvelujen (siis palvelujen tuotannon osittainen ulkoistaminen) on ollut esillä jo 1970-luvulta saakka ja aiheuttanut ajoittain kiivasta keskustelua.

Insourcing tarkoittaa palvelun tuotannon keskittämistä konsernin sisällä palveluntuotantoon erikoistuneeseen yksikköön. Termiä käytetään toisinaan outsourcing termin vastakohtana eli palvelutuotannon ottamisella takaisin omaan organisaatioon.

5.1.2 Erilaisia ulkoistuksia

Tässä raportissa käytetään termiä ulkoistaja toimeksiantajasta ja (ulkoistus)palveluntarjoaja siitä, joka ulkoistajan lukuun tuottaa palvelua. Perinteistä teollisuudessa yleistä käsitettä alihankkija on vältetty, sillä ulkoistukset ovat usein laajoja, pitkäaikaisia suhteita.

Ulkoistuksista on olemassa erilaisia variaatioita, jotka voidaan luokitella esimerkiksi seuraavalla tavalla:

  1. Ulkoistus, jossa resursseja (omaisuus ja ihmiset) siirtyy ulkoistajalta ulkoistuspalveluja tuottavalle yritykselle
  2. Ulkoistus, jossa resurssien siirtoa ei tapahdu
  3. Ulkoistus yhteisyritykselle
  4. Ulkoistus perustettavaan uuteen yritykseen (spin-off -tyyppinen)
  5. Ulkoistus konsernin sisällä (Group outsourcing tai insourcing).

5.1.3 Ulkoistuksen hyödyistä ja haitoista

Oikein tehdyllä ulkoistuksella on saavutettavissa merkittäviä hyötyjä. Tällaisia ovat:

  1. Keskittyminen omaan ydinliiketoimintaan vapauttaa pääomia sen kehittämiseen joka puolestaan mahdollistaa palvelun laadun parantamisen, resurssien paremman allokoinnin ja muita tavoiteltavia asioita.
  2. Kustannusten aleneminen. Ulkoistuspalveluja tarjoavat yritykset voivat saavuttaa mittakaavaetuja tarjoamalla samanlaisia palveluita useille yrityksille.
  3. Kustannukset ovat paremmin hallittavissa, kun aiempaa suurempi osa tuotteen tai palvelun kokonaiskustannuksista on sisällytetty tuotteen hintaan. Tällöin tuotannon vaatimia yleiskustannuksia ei ole tarpeen jakaa tuotteille jyvittämällä, management-fee: nä tai muuten.
  4. Ulkoistuspalveluja tarjoava yritys kykenee paremmin seuraamaan teknistä kehitystä ja osallistumaan toimialajärjestelyihin.
  5. Ulkoistuspalveluja tarjoava yritys on usein houkuttelevampi työnantaja ja kykenee rekrytoimaan ammattitaitoista työvoimaa. Tämä pätee erityisesti osaamisintensiivisiin tuotannonaloihin, kuten IT-palveluihin.

Ulkoistus on "arkipäiväistynyt", eikä sitä enää koeta yhtä pelottavaksi kuin vielä joitain vuosia sitten.

Off-shoring on tuotannon siirtämistä ulkomaille, near-shoring lähialueille.

Ulkoistuksen yhteydessä puhutaan usein tuotannon siirtämisestä halvemman työvoiman maihin eli off-shoring:sta. Mikäli kohdemaat sijaitsevat maantieteellisesti lähellä, puhutaan near-shoring:sta. Amerikkalaisessa liike-elämän lehdissä ulkoistusta (outsourcing) ja off-shoring:a käsitellään tavallisesti samassa yhteydessä; ellei aivan synonyymeinä niin ainakin saman asian kääntöpuolina.

Yritysten verkottuminen on lisääntynyt myös ulkoistuksen avulla: palvelun tuottaja saattaa ulkoistaa edelleen osia ulkoistetuista palveluista. Tällä seikalla on tietoturvallisuuden kannalta merkitystä, joten asiaa käsitellään myöhemmin tässä ohjeessa.

Kokemukset ulkoistuksesta eivät ole aina pelkästään hyviä. Erään arvovaltaisen arvion mukaan noin puolet suurista ulkoistuksista ovat menestyksekkäitä, viidennes osittaisia onnistumisia ja jopa 30 % on eriasteisia epäonnistumisia.

Suomessa tilanne lienee edellä kuvattua parempi. Tutkimuksen mukaan IT-ulkoistuksissa suurin osa odotettavista hyödyistä toteutuu. Vain kustannussäästöt näyttävät tekevän poikkeuksen. Kustannusten parempi hallittavuus ei myös usein toteudu odotetulla tavalla, joten esimerkiksi kilpailukyvyn odotetussa parantumisessa joudutaan toisinaan pettymään.

Ulkoistuksesta saatavien hyötyjen määrä on sidoksissa asiakkaiden ja toimintaympäristön muutokseen. Toimittajat pyrkivät vakioimaan palveluitaan (konseptointi), jotta palveluista saadaan tehokkaita ja tasalaatuisia. Mikäli asiakkaiden tarpeet muuttuvat nopeasti on helposti edessä tilanne, jossa tuotetaan tehokkaasti asiakkaiden uudistuneita tarpeita vastaamatonta palvelua.

Ulkoistuksen hyödyt toteutuvat vuosien kuluessa, sillä kyseessä on strateginen päätös. Etenkin ensimmäistä kertaa ulkoistettaessa saattaa ulkoistusprosessin alku (yleensä projektina toteutettava osuus) olla kivulias ja oletettua kalliimpi.

Ulkoistuksen potentiaaliset hyödyt jäävät toisinaan saavuttamatta, kun työntekijöiden siirtoa ulkoistuspalveluita tarjoavan yrityksen palvelukseen ja muita henkilöstömuutoksia ei kunnolla suunnitella. Mikäli ulkoistuksen seurauksena "vapautuville" henkilöstöresursseille ei ole vaihtoehtoista, tuottavaa käyttöä tai ulkoistuksen hallinnasta tehdään liian raskas on mahdollista, että seurauksena on uusi "välikerros" organisaation ja toimittajan välissä.

5.2 Ulkoistuksen yleisiä tietoturvavaikutuksia

Tietoturvallisuuden kannalta ulkoistus merkitsee muutosta. Muutos voi olla kohti parempaa tai huonompaa; vaikutukset ovat tapauskohtaisia. On olemassa eräitä yleisiä tietoturvallisuuteen vaikuttavia seikkoja, jotka vaikuttavat useimmissa ulkoistuksissa.

Ulkoistuksen tietoturvavaikutukset riippuvat ratkaisevasti siitä, minkä tyyppistä hankittava palvelu on. Työpaikkaruokalan ulkoistus tai tietohallinnon tärkeimpien toimintojen hankkiminen palveluna ovat niin erilaisia tapahtumia, että niiden käsittely samassa yhteydessä on luonnollisesti vaikeaa. Kussakin tapauksessa on kohteesta riippuvia erityispiirteitä, jotka tulee hallita. Tässä apuna voi käyttää VAHTI-ohjeita, Internetistä saatavia tarkistuslistoja tai alan ammattikirjallisuutta.

Vastuuta ei voi ulkoistaa. Vastuu tietoturvallisuudesta jää ulkoistavan organisaation johdolle. Sen on kyettävä varmistamaan vaadittava tietoturvataso koko ulkoistusprosessin ajan, eli tarjouspyynnöistä ulkoistuksen tuotantovaiheeseen asti.

5.2.1 Riippuvuuden lisääntyminen

Ulkoistaja tulee riippuvaiseksi palvelun toimittajasta ainakin suoranaisen ulkoistetun palvelun osalta, mutta mahdollisesti myös laajemmin (kuva 2). Palveluntarjoajan mahdolliset taloudelliset, toiminnalliset tai muut vaikeudet heijastuvat tarjottavaan palveluun ja tätä kautta suoraan ulkoistajan toimintaan.

Riippuvuuden lisääntymisen aiheuttamien riskien hallinta on vaikeaa, ehkä vaikeampaa kuin muiden ulkoistukseen liittyvien tietoturva-asioiden. Ulkoistuksessa pyritään yleensä suurten selkeiden kokonaisuuksien ulkoistamiseen, joten yleensä ulkoistetaan koko toiminto tai ainakin mahdollisimman suuri osa siitä. Kahden rinnakkaisen toimittajan kanssa tehtävät sopimukset eivät tällöin yleensä tule kyseeseen, vaan toimittajien määrä supistuu yhteen.

Tarjouskilpailuvaiheessa riippuvuuden lisääntymisen hallintakeinot painottuvat toimittajan arviointiin. On parempi tulla riippuvaiseksi vakavaraisesta, voitollisesta yrityksestä kuin huonossa taloudellisessa tilanteessa olevasta. Tämän seikan tarkastamiseen velvoittaa myös hankintoihin liittyvä lainsäädäntö. Yleisten taloudellisten arviointikohteiden (vakavaraisuusaste, liiketoiminnallinen tulos ja omistus) lisäksi toimittajan kyky aitoon yhteistyöhön määrittelee pitkälti, onko kyseessä riippuvuussuhde vai kumppanuus. Mikäli ulkoistuspalveluita tarjoava yritys on kannattava, sen tase vahva ja omistajat sitoutuneita pitkäaikaiseen sijoitukseen, on arvioitavissa yrityksen olevan toiminnassa vielä vuosienkin jälkeen. Globaalissa taloudessa maayhtiön hyvä tilanne ei kuitenkaan välttämättä ole tae koko konsernin vakaasta taloudellisesta tilanteesta, eikä konsernin hyvä taloudellinen tilanne vastaavasti takaa maayhtiön tulevaisuutta.

Esimerkki: Organisaatio Y on ulkoistanut toimintaansa liittyvän palvelun ASP-toimijalle, joka tarjoaa samaa palvelua myös muille asiakkailleen. Y oli aikanaan mukana kyseisen palvelun kehittämisessä. Palvelu on muuttumassa organisaation kannalta entistä tärkeämmäksi. Palvelun jatkuvuuden varmistamiseksi ja oman toimintansa turvaamiseksi organisaatio ja ASP-toimija kehittävät palvelua yhteistyössä entistä käyttövarmemmaksi ja tietoturvallisemmaksi. Organisaatio on hyötynyt edelläkävijän asemastaan.
Esimerkki: Maayhtiö toteutti asiakkaalle sovellusmäärittelyn. Emoyhtiön joutuessa taloudellisiin vaikeuksiin se pumppasi maayhtiön varoja omaan toimintaansa, jolloin maayhtiö joutui kustannussyistä erottamaan palveluksestaan keskeisiä asiantuntijoita. Toiminnan loppuvaiheessa maayhtiö ei kyennyt vastaamaan taloudellisista ja muista velvoitteistaan konsernin toiminnan lakatessa. Sovelluksen toteutus keskeytyi ja toimittajan vastuiden ja velvoitteiden selvittäminen sekä vahingonkorvausten saaminen sopimussuhteen kariutuessa osoittautui erittäin haastavaksi./

IT-toimintojen ulkoistuksen uudessa kilpailutuksessa on usein ongelmana, että nykyisestä toimittajasta ollaan liian riippuvaisia. Tarjouskilpailussa muilla tarjokkailla ei katsota olevan käytännön mahdollisuuksia. Tämä puolestaan johtaa toisinaan tilanteisiin, joissa varteenotettavia kilpailevia tarjouksia ei saada. Lisäksi ulkoistajan kannalta huolena on nykyisen toimittajan toiminta sopimuskauden loppuvaiheessa, mikäli ulkoistussopimusta ei jatketa. Entisen palveluntuottajan tekemä siirtokustannusten liioittelu tai haluttomuus yhteistyöhön palvelun siirtyessä uudelle toimittajalle voivat hankaloittaa toimintaa.

Ulkoistettavan toiminnon tai palvelun tarkka määrittely ulkoistuksen alussa ja määrittelyn ylläpito ulkoistussopimuksen aikana ovat tärkeitä. Mitä paremmin toiminto – erityisesti sen liittymät – on kuvattu ja dokumentoitu, sitä paremmin sen siirto toiselle palveluntoimittajalle onnistuu.

Esimerkki: Yritys Y oli ulkoistanut erään keskeisen tietojärjestelmänsä kokonaisuudessaan ASP-toimijalle. ASP-toimija puolestaan hankki käyttöpalveluja, tietoliikenne- ja muita tärkeitä alihankkijoiltaan ja nämä taas kriittisiä palveluita omiltaan. Vaikka kaikki toimivat tietoturvallisesti – osa jopa erinomaisen hyvin – oli kokonaisuuden kannalta ongelmana vastuiden määrittely ja yhteistyö mahdollisissa kriisitilanteissa. Vastuista sopiminen, yhteystietojen jako ja eräät menettelytapoihin liittyvät sopimukset paransivat tilannetta olennaisesti.

Liiallista riippuvuutta voidaan vähentää myös prosessien kehittämisellä vakioiduiksi. Selkeisiin, hyvin toimiviin ja kuvattuihin prosesseihin perustuva toiminta on helpompi siirtää toiselle toimittajalle ja mahdollistaa myös osaltaan hyvän tarjouspyynnön laatimisen.

Liiallista riippuvuutta voidaan alusta alkaen pienentää arvioimalla tarjouspyynnössä toimittajan kykyä siirtää ulkoistus toiselle toimittajalle. Tarjouspyynnön referenssit-kohdassa voidaan pyytää toimittajaa luettelemaan menestyksellisesti hoidetut ulkoistuksen siirrot sekä toimittajalle että toimittajalta pois. Mikäli jälkimmäiseen kohtaan ei löydy yhtään tapausta on arvioitava, eikö toimittajalla ole yhtään päättynyttä ulkoistussopimusta vai eikö ulkoistussopimuksia ole osattu siirtää uudelle toimittajalle.

Vaikka ulkoistuksessa toimintoja ja näihin liittyvää osaamista siirtyy muualle, on ulkoistettujen toimintojen johtamisen ja niiden hankkimisen kannalta välttämätön osaaminen säilytettävä organisaation sisällä.

Osaamisen liiallinen siirtyminen pois ulkoistusta hankkivasta organisaatiosta on riski, johon on varauduttava ulkoistusprosessin alussa. Vuosien aikana karttuneen asiantuntemuksen menettäminen on paljon helpompaa kuin sen hankkiminen, joten keskeisten henkilöiden nimeäminen on suositeltavaa tehdä ulkoistusprosessin alussa. Näille henkilöille voidaan antaa koulutusta, joka lisää organisaation valmiuksia ulkoistukseen liittyvän riippuvuuden lisääntymisen hallinnassa.

5.2.2 Vastuunjaon selkeyden merkitys

Lopullinen vastuu toiminnasta säilyy aina ulkoistavalla organisaatiolla. Tämä on seikka, joka on syytä pitää mielessä, vaikka vastuita voidaan ja niitä tulee jakaa ulkoistuksen yhteydessä uudelleen. Ulkoistuspalveluita tarjoava yritys sitoutuu tiettyyn palvelutasoon, joka vaikuttaa olennaisesti palvelun käytettävyyteen. Ulkoistajan on kuitenkin määriteltävä nämä tasot ja valvottava niiden toteutumista.

Sovittaessa palvelutasosta, hinnoista ja muista seikoista on syytä sopia myös vastuunjaon yksityiskohdista. Käytännössä esiintyy tilanteita, joissa vastuiden harmaat alueet aiheuttavat ongelmia. Ulkoistuspalvelun asiakas olettaa vastuun jostain kokonaisuudesta olevan toimittajalla, koska asiasta ei ole erikseen sovittu. Toimittaja puolestaan olettaa samasta syystä vastuun olevan asiakkaalla.

Siirtyminen yksittäisten asioiden ulkoistuksista suurempiin kokonaisuuksiin helpottaa vastuunjakoon liittyvää problematiikkaa. Sopimusten auditointi, selkeät määrittelyt vastuista ja osapuolten välinen jatkuva kommunikaatio auttavat. Laajoja asioita mittaavien palvelutasomittarien kehittäminen on myös kannatettavaa.

Vastuunjaon merkitys tulee korostumaan monitoimittajaympäristöissä ja erilaisissa verkostoissa. On syytä määritellä mahdollisimman yksiselitteisesti mikä on toimittajan vastuu, kun kolmannen osapuolen tarjoama palvelu häiriintyy. Suomen lainsäädännön mukaan toimittaja vastaa yleensä alihankkijoidensa toiminnasta kuin omastaan.

Monitoimittajaympäristöt yleistyvät. Tietoturvallisuuden kannalta vastuun jaon selkeyden merkitys korostuu. Toimittajien väliset vastuut – rajapinnat – on kirjattava sopimuksiin tai niistä on muuten sovittava yksiselitteisesti ja selkeästi. Yhteiset työryhmät tai palvelun seurantapalaverit ovat tilaisuuksia, joihin kannattaa kutsua edustajia useammalta kuin yhdeltä toimittajalta.

Monitoimittajaympäristössä turvallisuussopimusten ja kolmansien osapuolten tekemien auditointien merkitys on suurempi kuin perinteisissä toimittajamalleissa. Ensikäden auditointien tekoon ei yleensä ole resursseja eikä aina edes osaamista, joten joudutaan turvautumaan ulkopuolisten tekemiin auditointehin ja turvallisuussopimuksiin. Turvallisuussopimuksessa toimittajaosapuoli sitoutuu normaaliin sopimusvastuuseen tilaajan esittämistä vaatimuksista. Vaatimusten tulee olla selkeitä ja mahdollisia toteuttaa. Vakiomuotoinen menettely edesauttaa sopimusten solmimista.

5.2.3 Henkilöstöön liittyvät asiat

Ulkoistuksessa tapahtuu usein henkilöiden siirtymistä toisen organisaation palvelukseen vaikka tehtävät pysyvätkin. Aikaa myöden on tavallista, että henkilöt vaihtuvat ja ulkoistuspalveluita tarjoava yritys tuo tilalle uusia. Vaihtuvuus saattaa olla joskus tiheääkin. Ulkoistavan organisaation on varattava itselleen oikeus taustatarkistuksiin, henkilöiden haastatteluun ja henkilökohtaisten turvasopimusten solmimiseen. Ulkoistuspalveluita tarjoavan yrityksen vakuutus henkilökunnan luotettavuudesta on normaali rutiininomainen menettely, jonka paikkaansa pitävyyttä tulee tarkistaa pistokokein.

Esimerkki: Pienehkö yksikkö X päätti osittain ulkoistaa lähituen ja palvelinten ylläpidon. Palvelimia ei siirretty pois toimipisteestä, vaan paikallinen palveluntarjoaja sitoutui tekemään ylläpitoa paikan päällä. Pääsy yksikön tiloihin oli tarkasti valvottua, mutta (ulkopuolisen yrityksen) ylläpitohenkilökunta tarvitsi pääsyn tiloihin. Jatkuva valvonta ei ollut käytännössä mahdollista, sillä palveluntarjoajan henkilövaihtuvuus oli kohtuullisen suuri (paljon opiskelijatyövoimaa). Sovittiin, että pääsy toimipisteeseen on vain kahdella toimittajan edustajalla, jotka tunnettiin henkilökohtaisesti. Näiden kanssa laadittiin henkilökohtaiset sopimukset ja lisäksi sovittiin, että muita toimittajan henkilöitä saa käyttää vain, mikäli asiasta erikseen sovitaan. Ulkoistaja tiedosti, että menettely saattoi johtaa lievään palvelutason heikentymiseen.

Usein toistetun lausuman mukaan suurin osa tietoturvallisuuden uhista tulee organisaation sisältä. Ulkoistuksen yhteydessä sisäisen uhan lähteet muuttuvat: ulkoistuspalveluita tarjoavan yrityksen henkilöistä tulee ainakin osittain "talon omaa väkeä". Mahdollinen tyytymättömyys työnantajaorganisaatioon, puutteellinen tietotaso tai heikko tietoturvaasenne saattavat vaarantaa ulkoistuspalveluiden asiakkaan tietoturvallisuuden. Ulkoistetun toiminnon henkilöstö on otettava huomioon organisaation tietoturvakoulutusta suunniteltaessa.

5.2.4 Tietoturvallisuuden erityisosaaminen ja työkalut

Tietoturvallisuuteen liittyvät tekniset asiat vaativat erityisosaamista, jota on ylläpidettävä jatkuvasti. Tietoteknisten laitteiden ja ohjelmien toimittajilla on omia osaamissertifi kaatteja, joita myönnetään kyseisten ohjelmien ja laitteiden käytön hyvin hallitseville osaajille. Sertifi oitujen henkilöiden ja muiden osaajien rekrytointi on ulkoistuspalveluiden tarjoajalle helpompaa kuin muille yrityksille.

Tietoturvallisuuden toteuttamisessa käytettävien laitteiden, ohjelmien ja muiden välineiden hallinta saattaa olla hankalaa ja niiden asentaminen ja lisensiointi kallista. Ulkoistuspalveluiden tarjoajat voivat jakaa nämä kustannukset asiakasyritystensä kesken ja hyödyntää siten välineitä tehokkaalla tavalla.

5.2.5 Kansainvälistymiskehityksen vaikutukset

Tietoturvallisuus on kansainvälistä ja nopeasti muuttuvaa. Uhat tulevat entistä nopeammin ja vastakeinojen on oltava käytössä nopeasti. Ulkoistuspalveluita tarjoavat yritykset kykenevät seuraamaan yleistä tilannetta asiakkaitaan paremmin, mutta toimialakohtaisten erityisvaatimusten osalta näin ei aina ole.

5.3 Ulkoistamisen tietoturvariskit ja - mahdollisuudet

Ulkoistus ei tietoturvallisuuden kannalta sinänsä merkitse heikennystä tai parannusta, mutta eräät riskit ja mahdollisuudet toistuvat.

Tietoturvallisuutta parantavat yleensä seuraavat tekijät:

  • Toimittajalla on yleensä hyvä erityisosaaminen tietoturvallisuuden teknisistä asioista, mikäli nämä eivät ole harvinaisia tai vain ulkoistuksen kohteeseen liittyviä. Käyttöpalveluita tarjoava yrityksellä voidaan hyvällä syyllä olettaa olevan kykyä hallita palomuurit, virustorjunta, varmistukset ja muut vastaavat tekniset asiat. Taloushallinnon ulkoistuspalveluyritys on todennäköisesti kehittänyt järjestelmät, joilla vaarallisia työyhdistelmiä vältetään ja joilla tarkistetaan työntekijöiden luotettavuus.
  • Mittakaavaedut tuovat etua myös tietoturvallisuuden kannalta. Toimittajan henkilöstö oppii ja rutinoituu ja toimittajalle on järkevää kouluttaa henkilökuntaa tietoturvaja muissa asioissa. Mittakaavaetujen ansiosta eräät kalliit tietoturvaratkaisut tulevat halvemmiksi toteuttaa, kun toimintoja on keskitetty yhdelle toimittajalle.
  • Osaaminen on kriittinen menestystekijä tietoyhteiskunnassa ja osaavien henkilöiden rekrytointi on entistä tärkeämpää. Ulkoistuspalveluja tarjoavat yritykset ovat tietoturva- ja IT-ammattilaisille houkuttelevia työpaikkoja; ne tarjoavat kiinnostavia uramahdollisuuksia.

Ulkoistukseen liittyvistä riskeistä monet kytkeytyvät siihen, että ulkoistaja menettää osan kontrollistaan. Palvelua ei enää kyetä valvomaan tutuilla tavoilla, vaan siihen tarvitaan kolmatta osapuolta.

Ulkoistuspalvelujen toimittaja ei yleensä ole selvillä ulkoistuksen kohteen tietoturvallisuuden erityiskysymyksistä, vaan ulkoistajan on kerrottava ne erikseen. Dokumentoimattomat asiat eivät välity, sillä tietoturvallisuutta ei ulkoistuksen yhteydessä useinkaan käsitellä erillisenä kysymyksenä.

Esimerkki: Yritys oli ulkoistanut osan taloushallinnostaan ASP-palveluksi. Huomattiin, että eräällä varmuuskopiolla oli sinne kuulumatonta aiheistoa, joka oli suojaamatonta ja helposti palautettavissa luettavaan muotoon. Aineisto kuuluu eräälle toiselle yritykselle, joka oli myös ulkoistanut toimintojaan samalle ASP-palvelujen tarjoajalle. Varmuuskopiointiin käytettyjä tietovälineitä ei käsitelty oikein, vaan luottamuksellisuus vaarantui.

5.4 Edellytykset ulkoistamisen tietoturvariskien käsittelylle

Ulkoistuksen tietoturvallisuuden hallinnan kannalta keskeisessä asemassa ovat:

  1. ulkoistavan organisaation tietoturvallisuuden hallinta
  2. ulkoistettavan kohteen tietoturvallisuuden erityisasiat
  3. ulkoistuspalveluita t tarjoavan yrityksen tietoturvallisuuden hallinta
  4. kummankin organisaation kyky muutoshallintaan
  5. toimittajan ja ulkoistajan kyky yhteistoimintaan eli kohtien 1 ja 3 välinen kommunikaatio.

Kohtien 1 ja 3 arvioinnissa voidaan hyödyntää vastaavaa laadittua VAHTI-ohjetta Tietoturvallisuuden hallintajärjestelmän arviointisuositus (VAHTI 3/2003).

Ulkoistavalle yksikölle ulkoistus saattaa olla ensimmäinen laatuaan, mutta ulkoistuspalveluita tarjoavalle ei. Tilannetta voidaan helpottaa käyttämällä ulkopuolista konsulttia, jolla on tietoturvaosaamista. Ulkoistavan organisaation tietoturvallisuuden kokonaistila vaikuttaa onnistumiseen, mutta kaikkein keskeisintä on kyetä määrittelemään ulkoistettava kohde etenkin tietoturvallisuuden erityistekijöiden osalta. Lisäksi tulee hahmottaa asiakkaan kyky kyetä yhteistoimintaan ulkoistuspalvelujen tarjoajan kanssa. Tietoturvallisuudessa iso osa asioista on dynaamisia, nopeasti muuttuvia tai entuudestaan tuntemattomia, jolloin on kyettävä nopeaan hyvin koordinoituun toimintaan.

Mikäli kohta 2 sisältää tietojärjestelmiin tai tietohallintoon liittyviä toimintoja, tietoturvallisuuden arviointi on tehtävä viimeistään ulkoistusta suunniteltaessa. On kohtuutonta olettaa, että toimittaja olisi entuudestaan selvillä ulkoistettavan kohteen tietoturvallisuuden erityiskysymyksistä - etenkin mikäli kohde ei ole täysin vakioitu, yleisessä käytössä oleva ja yksinkertainen.

Vahti- ylläpito08.10.2009 / 13:24:24
Tulosta