Ca organizație, să externalizezi serviciile IT&C poate fi rentabil din punct de vedere financiar. Dacă ești decident fără un minim de cunoștințe tehnice, probabil decizia ta se va baza strict pe buget: costuri interne versus costuri externe…CAPEX vs OPEX……

…Nimic greșit…Doar că există o multitudine de factori, nu doar restricțiile bugetare, care ar trebui să influențeze modul în care companiile abordează externalizarea serviciilor. Cu puțină aciditate spun că un motiv poate fi credința că scap de o durere de cap…răspunde ălă…credință care poate fi adevărată dacă se înțelege SLA/contractul….Nu aș dori să se înțeleagă că sînt împotriva externalizării ci din contră că prin externalizare ”you get what you pay for”. Și dacă nu știi ce cumperi……te mănîncă lupul….te calcă hoții….Cînd îți faci/plătești o asigurare, citești și riscurile excluse nu doar pe cele asigurate…..

Nu cred că un decident ca cel de mai sus va conștientiza și că, prin externalizare, granițele/porțile organizației sale se vor extinde/deschide. Nu știu cîți din decidenți sînt conștienți că externalizează chiar parte din bijuteriile coroanei. Dacă afacerea se bazeză preponderent pe o instrastructură IT (includ și aplicațiile aici), atunci infrastructura în sine, activitățile de operare/întreținere și securitatea…devin bijuteriile coroanei.

Compania „Șublerul de titan SRL„ de la care clientul ”Gogoasa SA” a achiziționat ERP-ul (nu contează numele sau domeniul…poate fi chiar și cel al sănătății) asigură și servicii de tip suport de la distanță. Pentru asta, trebuie deschis un port într-un firewall. Această solicitare ajunge la un angajat IT al ”Gogoașa SA”, via e-mail. Angajatul nu are responsabilități pe linia securității. Conform contractului cu alt furnizor, cel de servicii de ”management rețea” – ”Rețelarul din Oz SRL”, se deschide un tiket in platforma acestuia prin care se solicită să fie deschis portul…să spunem 3389 (povestea nu consemnează dacă ”orice-orice” era pe acolo). Motivul solicitării: ”Șublerul de titan” trebuie să facă un update, pe stațiile ”Gogoașa SA” la clientul ERP. ”Rețelarul din OZ” execută cererea. Pentru aplicarea update-urilor, ”Șublerul de titan” are nevoie de un cont cu privilegii de administrator local/sistem…căci așa a fost scrisă aplicația cu ani în urmă, pentru a se evita alte ”contexte” cu potențiale dureri de cap. Se execută update-ul…..portul cu pricina rămîne deschis căci dacă aplicația funcționează restul nu mai contează…..

Managementul ”Gogoașa SA” nu are nici un fel de cunoștințe IT…..Principala sa preocupare fiind, cum scriam mai sus, bugetul și ”să meargă treaba”. De aici și numărul de angajați în IT: nici unul în domeniul securității, vreo ”2-3 băieți” care se ”ocupă de cabluri și imprimante”.

Și va trece și luna octombrie 2024. Chiar dacă astăzi nu știm exact cum va arăta legea de transpunere a directivei:

• Știți care sînt furnizorii de servicii care procesează sau au acces la cele mai importante date ale companiei (de exemplu date cu caracter personal sau strict reglementate printr-o lege specifică), precum și la datele pe care compania le consideră „bijuteriile coroanei”?
• Ați discutat cu colegii de la juridic și aprovizionare pentru a identifica care relații cu furnizorii prezintă cele mai mari riscuri pentru companie?
• Ați analizat contractele existente cu furnizorii IT și ați revizuit cerințele de securitate și protecție a datelor, pentru a identifica și a înlătura orice lacune?
• Aveți chestionare de evaluare a securității furnizorilor? Prin aceste chestionare le solicitați furnizorilor și rapoarte de audit (de exemplu CSA Cloud Controls), teste de penetrare/red team sau doar ”certificări ISO”?
• Ați vizitat vreodată centrul de date/sediul operațional al furnizorului?
• Știți că pentru ”membrii organelor de conducere” există obligația ”de a urma o formare pentru a dobândi suficiente cunoștințe și competențe pentru a putea identifica riscurile și a evalua practicile de gestionare a riscurilor în materie de securitate cibernetică și impactul acestora asupra serviciilor pe care le furnizează entitatea, și încurajează entitățile esențiale și entitățile importante să ofere o formare similară tuturor angajaților în mod regulat.” – Nu va mai exista scuza cu ”vinovat este doar ăla ….eu am contract de servicii externalizate…boss”