Шпаргалка по выбору ИТ-аутсорсера часть 3
Критерий, на который часто не обращают внимания. И напрасно!
Сегодня речь пойдет о доверии и безопасности, без которых в ИТ-аутсорсинге не обойтись. Как только вы заключаете контракт, ИТ-аутсорсер получает доступ к «сердцу» вашего бизнеса: финансовой информации, базам данных, личным данным персонала и контрагентов. Однако собственники бизнеса недооценивают фактор безопасности и больше смотрят на стоимость, количество выездов специалистов и т.д. На основе практики ALP ITSM расскажем, что можно предпринять уже на старте сотрудничества, чтобы обезопасить свой бизнес.
Критерий, на который часто не обращают внимания. И напрасно!
Сегодня речь пойдет о доверии и безопасности, без которых в ИТ-аутсорсинге не обойтись. Как только вы заключаете контракт, ИТ-аутсорсер получает доступ к «сердцу» вашего бизнеса: финансовой информации, базам данных, личным данным персонала и контрагентов. Однако собственники бизнеса недооценивают фактор безопасности и больше смотрят на стоимость, количество выездов специалистов и т.д. На основе практики ALP ITSM расскажем, что можно предпринять уже на старте сотрудничества, чтобы обезопасить свой бизнес.
К вопросу обязательств
У безопасности в контексте работы с ИТ-поставщиком есть две грани. Первая — это сохранение конфиденциальности той информации, которую получает ИТ-аутсорсер. Если действия штатных работников можно проконтролировать и вовремя пресечь утечку данных, то сотрудники ИТ-поддержки могут находиться не просто в другом офисе, но и в другом городе или даже стране.
Все внимание в этом случае — на договор. У вас обязательно должно быть на руках соглашение о конфиденциальности и неразглашении коммерческой тайны с ИТ-аутсорсинговой компанией. В нем четко прописывается ответственность в случае утечки секретной информации или потери данных. ИТ-аутсорсер заключает подобные соглашения со своими собственными сотрудниками.
При работе с серьёзными ИТ-аутсорсерами заключение такого соглашения не составит проблем: оно входит в стандартный пакет документов. Такие компании дорожат своей репутацией и заинтересованы в сохранности конфиденциальной информации едва ли не больше своих клиентов. Ведь любой инцидент может повлечь непоправимые последствия для их положения на рынке и отказ крупных брендов от сотрудничества с ненадежным поставщиком.
Если вы заключаете договор с небольшим ИТ-аутсорсером, то стоит включить ответственность за утечку или потерю данных в договор. К составлению контракта лучше привлечь опытного юриста.
Лазейка для хакеров
Вторая грань — это риски информационной безопасности. Даже если в вашей компании вопросы ИБ проработаны «на отлично», ваш бизнес станет очень уязвимым при сотрудничестве с ИТ-аутсорсером, у которого информационная безопасность выстроена слабо.
И вот доказательства: по данным компании «Ростелеком», в течение 2020 года удвоилось число атак на госкомпании и объекты критической инфраструктуры через их подрядчиков. Среди них — поставщики программного обеспечения, средств защиты, разработчики сайтов, различные компании, занимающиеся бухгалтерией на аутсорсинге, и т.д.
То, что верно для госкомпаний, актуально и для частного бизнеса. Если какая-то компания попадает в поле интереса хакеров, они будут искать любые возможности проникновения в периметр организации. И в том числе, через ИТ-аутсорсеров.
Как снизить риски?
Рекомендация только одна — еще до заключения контракта оцените готовность ИТ-аутсорсера обеспечить полную защиту ваших данных.
Выясните у потенциального поставщика:- Как у него организовано хранение данных клиентов и как обеспечивается их конфиденциальность? Насколько хорошо они защищены от хищения и потери
- Кто из персонала имеет право доступа к вашим данным?
- Какие средства используются для защиты рабочих мест сотрудников, которые непосредственно занимаются Вашей компанией (особенно, если они работают удаленно)?
- Есть ли у ИТ-аутсорсера проработанный план в случае возникновения инцидентов или хакерской атаки? Каковы будут его действия в этом случае? Как он будет компенсировать ущерб, если утечка данных произошла по его вине?
Что будет после сотрудничества?
«Золотое правило» отношений с подрядчиками: заключая договор с поставщиком, заранее подумайте о том, как будете их завершать. Даже если вы нашли суперпрофессиональную команду, которая вас полностью устраивает, контракт может быть досрочно прекращен по разным причинам. Например, бурный рост бизнеса, требующий ИТ-подрядчика другого масштаба, или изменение регуляторных требований, или закрытие направления. Не станет ли в этом случае секретная информация, которой обладает поставщик ИТ-услуг, поводом для шантажа? Все нюансы завершения контракта стоит обговорить еще в начале сотрудничества и отразить в договоре.
В первую очередь нужно обсудить такие вопросы:- Каким образом будет происходить возврат данных?
- Будут ли уничтожены резервные копии Ваших данных? Как это можно отследить? Как быстро это произойдет после завершения срока действия договора?
Еще один важный нюанс: если в процессе сотрудничества с ИТ-аутсорсером будет создан коммерчески перспективный продукт (например, новый сервис, ПО или приложение), нужно заранее прописать в контракте, кому будут принадлежать права интеллектуальной собственности. Убедитесь, что вы не теряете права на информацию или интеллектуальные разработки!
Следуя этим рекомендациям, вы, конечно, не сможете убрать абсолютно все риски. Но уверенности в том, что ваши данные находятся под надежной защитой, на порядок прибавится!
К предыдущим частям статьи:
