Сегодня речь пойдет о доверии и безопасности, без которых
в ИТ-аутсорсинге не обойтись. Как только вы заключаете контракт,
ИТ-аутсорсер получает доступ к «сердцу» вашего бизнеса: финансовой информации, базам данных, личным данным персонала и контрагентов. Однако собственники бизнеса недооценивают фактор безопасности и больше смотрят на стоимость, количество выездов специалистов и т.д. На основе практики ИТ департамента ALP GROUP расскажем, что можно предпринять уже на старте сотрудничества, чтобы обезопасить свой бизнес.
К вопросу обязательств
У безопасности в контексте работы с ИТ-поставщиком есть две грани. Первая – это сохранение конфиденциальности той информации, которую получает ИТ-аутсорсер. Если действия штатных работников можно проконтролировать и вовремя пресечь утечку данных, то сотрудники
ИТ-поддержки могут находиться не просто в другом офисе, но и в другом городе или даже стране.
Все внимание в этом случае – на договор. У вас обязательно должно быть на руках соглашение о конфиденциальности и неразглашении коммерческой тайны с ИТ-аутсорсинговой компанией. В нем четко прописывается ответственность в случае утечки секретной информации или потери данных. ИТ-аутсорсер заключает подобные соглашения
со своими собственными сотрудниками.
При работе с серьёзными ИТ-аутсорсерами заключение такого соглашения не составит проблем: оно входит в стандартный пакет документов. Такие компании дорожат своей репутацией и заинтересованы в сохранности конфиденциальной информации едва ли не больше своих клиентов. Ведь любой инцидент может повлечь непоправимые последствия для их положения на рынке и отказ крупных брендов от сотрудничества с ненадежным поставщиком.
Если вы заключаете договор с небольшим ИТ-аутсорсером, то стоит включить ответственность за утечку или потерю данных в договор.
К составлению контракта лучше привлечь опытного юриста.
Лазейка для хакеров
Вторая грань – это риски информационной безопасности. Даже если
в вашей компании вопросы ИБ проработаны «на отлично», ваш бизнес станет очень уязвимым при сотрудничестве с ИТ-аутсорсером, у которого информационная безопасность выстроена слабо.
И вот доказательства: по данным компании «Ростелеком», в течение
2020 года удвоилось число атак на госкомпании и объекты критической инфраструктуры через их подрядчиков. Среди них - поставщики программного обеспечения, средств защиты, разработчики сайтов, различные компании, занимающиеся бухгалтерией на аутсорсинге, и т.д.
То, что верно для госкомпаний, актуально и для частного бизнеса.
Если какая-то компания попадает в поле интереса хакеров, они будут искать любые возможности проникновения в периметр организации.
И в том числе, через ИТ-аутсорсеров.
Как снизить риски?
Рекомендация только одна – еще до заключения контракта оцените готовность ИТ-аутсорсера обеспечить полную защиту ваших данных. Выясните у потенциального поставщика:
- Как у него организовано хранение данных клиентов и как обеспечивается их конфиденциальность? Насколько хорошо
они защищены от хищения и потери? - Кто из персонала имеет право доступа к вашим данным?
- Какие средства используются для защиты рабочих мест сотрудников, которые непосредственно занимаются Вашей компанией (особенно, если они работают удаленно)?
- Есть ли у ИТ-аутсорсера проработанный план в случае возникновения инцидентов или хакерской атаки? Каковы будут его действия в этом случае? Как он будет компенсировать ущерб, если утечка данных произошла по его вине?
Что будет после сотрудничества?
«Золотое правило» отношений с подрядчиками: заключая договор
с поставщиком, заранее подумайте о том, как будете их завершать.
Даже если вы нашли суперпрофессиональную команду, которая вас полностью устраивает, контракт может быть досрочно прекращен по разным причинам. Например, бурный рост бизнеса, требующий
ИТ-подрядчика другого масштаба, или изменение регуляторных требований, или закрытие направления. Не станет ли в этом случае секретная информация, которой обладает поставщик ИТ-услуг, поводом для шантажа? Все нюансы завершения контракта стоит обговорить
еще в начале сотрудничества и отразить в договоре.
В первую очередь нужно обсудить такие вопросы:
- Каким образом будет происходить возврат данных?
- Будут ли уничтожены резервные копии Ваших данных? Как это можно отследить? Как быстро это произойдет после завершения срока действия договора?
Еще один важный нюанс: если в процессе сотрудничества
с ИТ-аутсорсером будет создан коммерчески перспективный продукт (например, новый сервис, ПО или приложение), нужно заранее прописать в контракте, кому будут принадлежать права интеллектуальной собственности. Убедитесь, что вы не теряете права на информацию
или интеллектуальные разработки!
Следуя этим рекомендациям, вы, конечно, не сможете убрать абсолютно все риски. Но уверенности в том, что ваши данные находятся
под надежной защитой, на порядок прибавится!
============================================================
Мы 25 ЛЕТ оказываем качественный ИТ сервис! Давайте знакомиться!
-> Подробнее о компании и команде ALP ITSM
-> Подробнее про ИТ аутсорсинг
Больше полезных статей ИТ тематики на нашем сайте
Более 100 реальных отзывов от наших клиентов
На все вопросы по IT-обслуживанию мы отвечаем
по телефону +7 (499) 877-15-97 или e-mail: zen@alp-itsm.ru
============================================================
