Aktuální číslo časopisu Ekonom
Přibližme význam a zmapujme možnosti outsourcingu v prostředí bezpečnosti dat, tak mimořádně citlivém pro každou organizaci. Výklad tohoto slova ve slovníku Lingea Lexicon je poměrně obecný a uspokojí nejen oblast IT: outsourcing je vyložen (nikoli přeložen) jako využívání subdodavatelských vztahů. To je velmi šalamounsky řečeno, vždyť který větší projekt se obejde bez subdodavatelů? Význam pojmu by možná lépe vystihla širší definice ve smyslu kompletní dodávky specifických produktů a služeb, které často mají nebo mohou mít časový průběh. Outsourcing se může týkat velmi jednoduchých případů, kdy organizace potřebuje pouze na určitou dobu (například sezonně) zvýšit počet svých pracovníků, ale bez nárůstu kmenových zaměstnanců. Je často využíván v případě systémů ERP a CRM, obecně administrativy. Pravděpodobně nejvyužívanějším případem je však tvorba a údržba webovských stránek. Outsourcingem lze řešit i komplexní dodávku a údržbu kritického hardwaru.
V oblasti IT se pomocí outsourcingu řeší dodávky produktů, aplikací a/nebo služeb, jejichž chod, údržba, zálohování dat a servis vyžadují speciální, odborně školené pracovníky, jejichž plný pracovní úvazek pro danou organizaci by byl zcela neefektivní, protože jsou, přímo řečeno, velmi mzdově drazí a dotyčná organizace není schopna - vzhledem k povaze dané aplikace - tyto pracovníky využít na plný úvazek.
Specifické rysy bezpečnostních služeb v oblasti IT
Je zbytečné zdůrazňovat, že bezpečnost dat je nanejvýš citlivou záležitostí každé organizace. Z hlediska outsourcingu jakýchkoli služeb, při jejichž výkonu se pracovníci poskytovatele dostávají do kontaktu s daty, která jsou pro danou organizaci kritická (účetní data, adresáře obchodních partnerů a zákazníků, elektronická korespondence, smluvní vztahy, ale i sdílené diáře a samozřejmě osobní údaje o zaměstnancích), je důvěryhodnost a spolehlivost poskytovatele zřejmě prvním kritériem, které bude při výběru zvažováno. A jak již bylo v úvodu podotknuto, právě outsourcing administrativních činností je velmi populární.
Neméně důležité je však vlastní zabezpečení dat před neoprávněným přístupem. Zmiňme nejen zcizení dat (v elektronickém světě se jedná zejména o kopírování, i když ani úplnou destrukci nelze vyloučit, například jako akt msty nespokojeného zaměstnance), ale také záměrné pozměnění a zejména obecnou dostupnost dat. Tím se dostáváme do problematiky zabezpečení dat proti napadení zvnějšku i zevnitř. Je bohužel smutnou, byť málo známou skutečností, že cca 60-70 procent hackerských útoků je vedeno zevnitř organizace. Dostupnost dat může být narušena například vlivem počítačového viru nebo wormu, tj. obecně škodlivého kódu, který se rozšíří uvnitř organizace.
Z hlediska zabezpečení dat proti pokusům o hackerské průniky do chráněných oblastí, proti virům, červům a dalšímu nežádoucímu kódu existují zhruba tři skupiny aplikací či systémů, které svým charakterem velmi dobře odpovídají definici, již jsme si stanovili výše:
1. Firewall na internetové bráně a antivirová ochrana.
2. Detekce průniku (IDS), firewally na stanicích, ochrana proti spamu, zjišťování bezpečnostních děr.
3. Ostatní (šifrování, nástroje HW/SW auditu apod.).
Prvky první skupiny (ad 1) patří dnes již mezi zcela rutinní bezpečnostní výbavu informačních technologií libovolné organizace. Zatímco zřízení a nastavení firewallu je víceméně jednorázovou záležitostí (pomineme-li pravidelnou údržbu operačního systému a případné upgrady dané aplikace), antivirová ochrana v sobě implicitně zahrnuje nutnost setrvalé každodenní péče o systém. I přesto, že celou řadu úkolů antivirové ochrany lze automatizovat a většina softwarových balíků obsahuje kromě vlastních antivirových aplikací také prvky centrální správy s pokročilými reportovacími funkcemi, mnoho úkolů stále zůstává na správci antivirového systému na zcela neautomatizovatelné ruční práci. Přitom nehovoříme ještě vůbec o případu aktuální virové nákazy, kdy včasný, profesionální a kompetentní zásah na pravém místě může přinést omezení nákazy, lokalizaci ložiska virové nákazy a téměř vždy zabránit dalšímu šíření. Na druhou stranu pozdní a neodborný zásah může situaci jenom zhoršit. Většina organizací v uplynulých letech řešila uvedenou problematiku z vlastních zdrojů. U menších firem správci sítě postupně přibyly úkoly neustálého záplatování operačních systémů, aplikací, konfigurace a údržba firewallu, jakož i aktualizace "antiviru" (i několikrát denně) spojené s nutností neustálého sebevzdělávání.
Druhá skupina (ad 2) sdružuje prvky aktivní i pasivní ochrany. Zatímco softwarové produkty zjišťující pokusy o průnik (IDS - Intrusion Detection Systems) a skenery chybějících záplat a hotfixů patří k aktivním prvkům, antispam a personální firewally lze z hlediska funkčnosti zařadit spíše mezi pasivní nástroje. Jedná se o speciální aplikace, jejichž správné nastavení a používání vyžaduje hluboké znalosti dané problematiky a jejich neustálé doplňování. Pro ilustraci, nevhodné nastavení antispamu může vyústit ve ztrátu nebo alespoň opožděné doručování zcela regulérní elektronické pošty. Lze říci, že při správném nastavení smluvních vztahů mezi poskytovatelem a uživatelem je v tomto případě outsourcing prakticky jediným řešením, které je schopno zajistit skutečně efektivní využívání možností a funkcionalit daného systému.
Konečně třetí skupina (ad 3) zahrnuje další, méně běžné nástroje, z nichž jsme pro názornost vyčlenili audit SW a HW a kryptovanou komunikaci. Patřily by sem však samozřejmě i například aplikace pro bezpečné mazání dat a řada jiných. Rozhodne-li se organizace implementovat šifrovanou komunikaci, málokdy ji řeší globálně, většinou se jedná o vybranou skupinu, například vedoucích pracovníků. A právě tento případ je naprosto typický pro outsourcing: kryptovaná komunikace vyžaduje kromě vlastní (zpravidla velmi jednoduché) instalace příslušných šifrovacích nástrojů především distribuci a správu veřejných a privátních klíčů včetně jejich zálohování, které je v tomto případě bytostně důležité, neboť například smazání privátního klíče představuje okamžitou nedostupnost veškeré šifrované pošty, stejně jako třeba zapomenutí hesla pro namapování PGP disku se rovná úplné ztrátě jeho obsahu. Auditovací nástroje představují konečně jedinečnou možnost získání (a udržení) přehledu o hardwarové a softwarové výbavě dané společnosti. I v tomto případě lze celou tuto službu nakoupit; a to buďto jednorázově, nebo opakovaně; záleží pak na managementu dané společnosti.
Outsourcing systému antivirové ochrany
Vzhledem k tomu, že jedním z nejnáročnějších případů outsourcingu v oblasti IT je právě antivirová ochrana, zaměřme se v dalším textu podrobněji na její specifické rysy.
Komplexní správa antivirového systému, jak už bylo řečeno, vyžaduje prakticky každodenní pozornost. Znamená to ve svém důsledku, že mezi poskytovatelem a konzumentem této služby musí existovat jasně stanovená pravidla, určující, co vše je v rámci outsourcingu antivirové ochrany pokryto a jakým způsobem. Mimo standardní případ, který v sobě zahrnuje převod či pronájem příslušného počtu licencí příslušných aplikací koncovému uživateli, existuje v současné době možnost zahrnout do smlouvy o outsourcingu například i kompletní hardwarová řešení, která nabízí většina špičkových firem (tzv. black-box, za všechny jmenujme McAfee WebShield Appliance), a to včetně jejich dálkové správy a údržby.
Důležitým bodem je však v každém případě řešení krizových momentů. Je třeba mít na paměti, že antivirová ochrana je prakticky výhradně reaktivní. Platí neochvějně, že analytici a vývojáři antivirových signatur jsou vždy o krůček pozadu za těmi, kteří do světa své škodlivé kódy posílají. Ponechme stranou pokročilé heuristické analýzy i sofistikované metody detekce anomálního chování systému: účinné napadení organizací škodlivým kódem a jeho masivní rozšíření je prakticky vždy podmíněno skutečností, že v systému není proti danému kódu implementována ochrana. Je lhostejné, zda se jedná o příslušnou virovou signaturu, nebo o chybějící bezpečnostní záplatu operačního systému.
Krizové momenty tedy musí mít ze své reaktivní podstaty v příslušné smlouvě velmi specifické postavení. Většinou se postuluje určitá doba, v jejímž rozmezí je poskytovatel povinen na vzniklou situaci reagovat, i opatření, která budou následně provedena. Zde je však třeba připomenout, že řada uživatelů vznáší právě v tomto bodě nepřiměřené (a nebojme se říci nesplnitelné) požadavky. Tak jako pojišťovna zaručuje po havárii určité služby (odtah, náhradní auto, péči, servis, právní pomoc), lze garantovat i přítomnost vyškolených profesionálů do stanovené doby na napadeném pracovišti uživatele a provedení určitých základních opatření (např. lokalizaci a případné odstavení napadených počítačů a serverů).
Co však zásadně garantovat nelze, je doba, za kterou bude k dispozici řešení (detekční nebo kompletní, tedy včetně léčení). Řada uživatelů ví, že analýza a generace signatury u většiny škodlivých kódů je zpravidla rychlou a rutinní záležitostí, která je často automatizována, a snaží se vnutit poskytovateli závazek, že tomu tak bude vždycky, a navíc do určité doby od zveřejnění existence škodlivého kódu (tj. v praxi se za rozhodný moment považuje většinou zveřejnění varovné zprávy, tzv. virus alertu).
Jako u každého pravidla i zde ovšem existují výjimky - vzpomeňme namátkou třeba OneHalf, Magistr a z nedávné doby i BugBear.b: všechny tyto kódy daly i těm nejlepším analytikům pořádně zabrat. S vědomím těchto souvislostí žádný seriózní poskytovatel antivirových služeb nemůže přijmout závazek, že do čtyř (šesti, deseti, dvaceti...) hodin příslušný kód vždycky stoprocentně zlikviduje.
Rychle, ale především diskrétně
Na druhou stranu lze dohodnout a smluvně zakotvit, že jakmile je řešení známo, bude do stanoveného limitu implementováno na většině strojů. Tady se uplatňují zejména systémy centrální správy, o nichž již byla v úvodu zmínka; opět se však z praxe jeví nesplnitelným požadavek stoprocentního pokrytí. Několik procent strojů zůstane vždy nedostupných (notebooky, vypnuté stanice pracovníků v terénu či na dovolených), takže, řečeno matematicky, výsledná bilance se ideálu s časem pouze limitně blíží. K nedostupným počítačům je třeba připočíst stroje, které sice zapnuté jsou, avšak implementace standardními metodami u nich prostě korektně neproběhne (aniž známe příčiny), a tudíž vyžadují zásah technika přímo na místě. Pochvalme uživatele - tomuto momentu většinou rozumí.
Kromě řešení krizových situací však outsourcing AV řešení musí zahrnovat i rutinní kontrolu systému, inspekci logů a vytvoření a předání zprávy o bezpečnostních incidentech a jejich řešení za předem dohodnuté období. Frekvence těchto kontrol záleží na velikosti organizace uživatele a na objemu i kvalifikaci lidských zdrojů uživatele. Praxe ukazuje, že dvouměsíční, v krajním případě kvartální perioda je minimem.
Součástí smlouvy o AV outsourcingu by mělo být i pravidelné školení uživatelů, případně podpůrných IT pracovníků uživatele. Z hlediska frekvence je charakteristická spíše značná volnost; často používaným zlatým (a snadno uplatnitelným) pravidlem je změna prvního čísla série systému.
Outsourcing antivirové ochrany však může jít až do té hloubky, že může zahrnovat i pracovníka poskytovatele, který je trvale přítomen na pracovišti klienta, denně dohlíží na bezproblémový chod systému a řeší případné problémy prakticky okamžitě. Bez ohledu na individuální záběr outsourcingu je však vždy nezbytnou podmínkou spolupráce managementu klienta. Antivirová ochrana je službou, jejímž implicitním rysem je být v pozadí, zajišťovat bezpečné prostředí a nepřekážet v práci. Je však třeba si uvědomit, že vývoj v krizových situacích si může vynutit i převzetí velení pracovníkem poskytovatele. Naprostou nezbytností je pak důvěra managementu organizace klienta a podpora veškerých kroků, které v zájmu co nejrychlejší likvidace bezpečnostního incidentu dotyčný profesionál navrhne.
Základní výhodou outsourcingu bezpečnostních služeb je tedy skutečnost, že klient má k dispozici profesionální servis s kvalitami, které by z vlastních zdrojů získával s neporovnatelně vyššími finančními náklady. Další výhodou je možnost sjednání jasných pravidel a garancí, i když je třeba brát v úvahu výše zmíněná omezení. Vzhledem k těmto výhodám se outsourcing stává stále více populární i v tak velmi choulostivé oblasti, jakou bezpečnost dat nepochybně je.
ředitel PCS Software, spol. s r. o.
V oblasti IT se pomocí outsourcingu řeší dodávky produktů, aplikací a/nebo služeb, jejichž chod, údržba, zálohování dat a servis vyžadují speciální, odborně školené pracovníky, jejichž plný pracovní úvazek pro danou organizaci by byl zcela neefektivní, protože jsou, přímo řečeno, velmi mzdově drazí a dotyčná organizace není schopna - vzhledem k povaze dané aplikace - tyto pracovníky využít na plný úvazek.
Specifické rysy bezpečnostních služeb v oblasti IT
Je zbytečné zdůrazňovat, že bezpečnost dat je nanejvýš citlivou záležitostí každé organizace. Z hlediska outsourcingu jakýchkoli služeb, při jejichž výkonu se pracovníci poskytovatele dostávají do kontaktu s daty, která jsou pro danou organizaci kritická (účetní data, adresáře obchodních partnerů a zákazníků, elektronická korespondence, smluvní vztahy, ale i sdílené diáře a samozřejmě osobní údaje o zaměstnancích), je důvěryhodnost a spolehlivost poskytovatele zřejmě prvním kritériem, které bude při výběru zvažováno. A jak již bylo v úvodu podotknuto, právě outsourcing administrativních činností je velmi populární.
Neméně důležité je však vlastní zabezpečení dat před neoprávněným přístupem. Zmiňme nejen zcizení dat (v elektronickém světě se jedná zejména o kopírování, i když ani úplnou destrukci nelze vyloučit, například jako akt msty nespokojeného zaměstnance), ale také záměrné pozměnění a zejména obecnou dostupnost dat. Tím se dostáváme do problematiky zabezpečení dat proti napadení zvnějšku i zevnitř. Je bohužel smutnou, byť málo známou skutečností, že cca 60-70 procent hackerských útoků je vedeno zevnitř organizace. Dostupnost dat může být narušena například vlivem počítačového viru nebo wormu, tj. obecně škodlivého kódu, který se rozšíří uvnitř organizace.
Z hlediska zabezpečení dat proti pokusům o hackerské průniky do chráněných oblastí, proti virům, červům a dalšímu nežádoucímu kódu existují zhruba tři skupiny aplikací či systémů, které svým charakterem velmi dobře odpovídají definici, již jsme si stanovili výše:
1. Firewall na internetové bráně a antivirová ochrana.
2. Detekce průniku (IDS), firewally na stanicích, ochrana proti spamu, zjišťování bezpečnostních děr.
3. Ostatní (šifrování, nástroje HW/SW auditu apod.).
Prvky první skupiny (ad 1) patří dnes již mezi zcela rutinní bezpečnostní výbavu informačních technologií libovolné organizace. Zatímco zřízení a nastavení firewallu je víceméně jednorázovou záležitostí (pomineme-li pravidelnou údržbu operačního systému a případné upgrady dané aplikace), antivirová ochrana v sobě implicitně zahrnuje nutnost setrvalé každodenní péče o systém. I přesto, že celou řadu úkolů antivirové ochrany lze automatizovat a většina softwarových balíků obsahuje kromě vlastních antivirových aplikací také prvky centrální správy s pokročilými reportovacími funkcemi, mnoho úkolů stále zůstává na správci antivirového systému na zcela neautomatizovatelné ruční práci. Přitom nehovoříme ještě vůbec o případu aktuální virové nákazy, kdy včasný, profesionální a kompetentní zásah na pravém místě může přinést omezení nákazy, lokalizaci ložiska virové nákazy a téměř vždy zabránit dalšímu šíření. Na druhou stranu pozdní a neodborný zásah může situaci jenom zhoršit. Většina organizací v uplynulých letech řešila uvedenou problematiku z vlastních zdrojů. U menších firem správci sítě postupně přibyly úkoly neustálého záplatování operačních systémů, aplikací, konfigurace a údržba firewallu, jakož i aktualizace "antiviru" (i několikrát denně) spojené s nutností neustálého sebevzdělávání.
Druhá skupina (ad 2) sdružuje prvky aktivní i pasivní ochrany. Zatímco softwarové produkty zjišťující pokusy o průnik (IDS - Intrusion Detection Systems) a skenery chybějících záplat a hotfixů patří k aktivním prvkům, antispam a personální firewally lze z hlediska funkčnosti zařadit spíše mezi pasivní nástroje. Jedná se o speciální aplikace, jejichž správné nastavení a používání vyžaduje hluboké znalosti dané problematiky a jejich neustálé doplňování. Pro ilustraci, nevhodné nastavení antispamu může vyústit ve ztrátu nebo alespoň opožděné doručování zcela regulérní elektronické pošty. Lze říci, že při správném nastavení smluvních vztahů mezi poskytovatelem a uživatelem je v tomto případě outsourcing prakticky jediným řešením, které je schopno zajistit skutečně efektivní využívání možností a funkcionalit daného systému.
Konečně třetí skupina (ad 3) zahrnuje další, méně běžné nástroje, z nichž jsme pro názornost vyčlenili audit SW a HW a kryptovanou komunikaci. Patřily by sem však samozřejmě i například aplikace pro bezpečné mazání dat a řada jiných. Rozhodne-li se organizace implementovat šifrovanou komunikaci, málokdy ji řeší globálně, většinou se jedná o vybranou skupinu, například vedoucích pracovníků. A právě tento případ je naprosto typický pro outsourcing: kryptovaná komunikace vyžaduje kromě vlastní (zpravidla velmi jednoduché) instalace příslušných šifrovacích nástrojů především distribuci a správu veřejných a privátních klíčů včetně jejich zálohování, které je v tomto případě bytostně důležité, neboť například smazání privátního klíče představuje okamžitou nedostupnost veškeré šifrované pošty, stejně jako třeba zapomenutí hesla pro namapování PGP disku se rovná úplné ztrátě jeho obsahu. Auditovací nástroje představují konečně jedinečnou možnost získání (a udržení) přehledu o hardwarové a softwarové výbavě dané společnosti. I v tomto případě lze celou tuto službu nakoupit; a to buďto jednorázově, nebo opakovaně; záleží pak na managementu dané společnosti.
Outsourcing systému antivirové ochrany
Vzhledem k tomu, že jedním z nejnáročnějších případů outsourcingu v oblasti IT je právě antivirová ochrana, zaměřme se v dalším textu podrobněji na její specifické rysy.
Komplexní správa antivirového systému, jak už bylo řečeno, vyžaduje prakticky každodenní pozornost. Znamená to ve svém důsledku, že mezi poskytovatelem a konzumentem této služby musí existovat jasně stanovená pravidla, určující, co vše je v rámci outsourcingu antivirové ochrany pokryto a jakým způsobem. Mimo standardní případ, který v sobě zahrnuje převod či pronájem příslušného počtu licencí příslušných aplikací koncovému uživateli, existuje v současné době možnost zahrnout do smlouvy o outsourcingu například i kompletní hardwarová řešení, která nabízí většina špičkových firem (tzv. black-box, za všechny jmenujme McAfee WebShield Appliance), a to včetně jejich dálkové správy a údržby.
Důležitým bodem je však v každém případě řešení krizových momentů. Je třeba mít na paměti, že antivirová ochrana je prakticky výhradně reaktivní. Platí neochvějně, že analytici a vývojáři antivirových signatur jsou vždy o krůček pozadu za těmi, kteří do světa své škodlivé kódy posílají. Ponechme stranou pokročilé heuristické analýzy i sofistikované metody detekce anomálního chování systému: účinné napadení organizací škodlivým kódem a jeho masivní rozšíření je prakticky vždy podmíněno skutečností, že v systému není proti danému kódu implementována ochrana. Je lhostejné, zda se jedná o příslušnou virovou signaturu, nebo o chybějící bezpečnostní záplatu operačního systému.
Krizové momenty tedy musí mít ze své reaktivní podstaty v příslušné smlouvě velmi specifické postavení. Většinou se postuluje určitá doba, v jejímž rozmezí je poskytovatel povinen na vzniklou situaci reagovat, i opatření, která budou následně provedena. Zde je však třeba připomenout, že řada uživatelů vznáší právě v tomto bodě nepřiměřené (a nebojme se říci nesplnitelné) požadavky. Tak jako pojišťovna zaručuje po havárii určité služby (odtah, náhradní auto, péči, servis, právní pomoc), lze garantovat i přítomnost vyškolených profesionálů do stanovené doby na napadeném pracovišti uživatele a provedení určitých základních opatření (např. lokalizaci a případné odstavení napadených počítačů a serverů).
Co však zásadně garantovat nelze, je doba, za kterou bude k dispozici řešení (detekční nebo kompletní, tedy včetně léčení). Řada uživatelů ví, že analýza a generace signatury u většiny škodlivých kódů je zpravidla rychlou a rutinní záležitostí, která je často automatizována, a snaží se vnutit poskytovateli závazek, že tomu tak bude vždycky, a navíc do určité doby od zveřejnění existence škodlivého kódu (tj. v praxi se za rozhodný moment považuje většinou zveřejnění varovné zprávy, tzv. virus alertu).
Jako u každého pravidla i zde ovšem existují výjimky - vzpomeňme namátkou třeba OneHalf, Magistr a z nedávné doby i BugBear.b: všechny tyto kódy daly i těm nejlepším analytikům pořádně zabrat. S vědomím těchto souvislostí žádný seriózní poskytovatel antivirových služeb nemůže přijmout závazek, že do čtyř (šesti, deseti, dvaceti...) hodin příslušný kód vždycky stoprocentně zlikviduje.
Rychle, ale především diskrétně
Na druhou stranu lze dohodnout a smluvně zakotvit, že jakmile je řešení známo, bude do stanoveného limitu implementováno na většině strojů. Tady se uplatňují zejména systémy centrální správy, o nichž již byla v úvodu zmínka; opět se však z praxe jeví nesplnitelným požadavek stoprocentního pokrytí. Několik procent strojů zůstane vždy nedostupných (notebooky, vypnuté stanice pracovníků v terénu či na dovolených), takže, řečeno matematicky, výsledná bilance se ideálu s časem pouze limitně blíží. K nedostupným počítačům je třeba připočíst stroje, které sice zapnuté jsou, avšak implementace standardními metodami u nich prostě korektně neproběhne (aniž známe příčiny), a tudíž vyžadují zásah technika přímo na místě. Pochvalme uživatele - tomuto momentu většinou rozumí.
Kromě řešení krizových situací však outsourcing AV řešení musí zahrnovat i rutinní kontrolu systému, inspekci logů a vytvoření a předání zprávy o bezpečnostních incidentech a jejich řešení za předem dohodnuté období. Frekvence těchto kontrol záleží na velikosti organizace uživatele a na objemu i kvalifikaci lidských zdrojů uživatele. Praxe ukazuje, že dvouměsíční, v krajním případě kvartální perioda je minimem.
Součástí smlouvy o AV outsourcingu by mělo být i pravidelné školení uživatelů, případně podpůrných IT pracovníků uživatele. Z hlediska frekvence je charakteristická spíše značná volnost; často používaným zlatým (a snadno uplatnitelným) pravidlem je změna prvního čísla série systému.
Outsourcing antivirové ochrany však může jít až do té hloubky, že může zahrnovat i pracovníka poskytovatele, který je trvale přítomen na pracovišti klienta, denně dohlíží na bezproblémový chod systému a řeší případné problémy prakticky okamžitě. Bez ohledu na individuální záběr outsourcingu je však vždy nezbytnou podmínkou spolupráce managementu klienta. Antivirová ochrana je službou, jejímž implicitním rysem je být v pozadí, zajišťovat bezpečné prostředí a nepřekážet v práci. Je však třeba si uvědomit, že vývoj v krizových situacích si může vynutit i převzetí velení pracovníkem poskytovatele. Naprostou nezbytností je pak důvěra managementu organizace klienta a podpora veškerých kroků, které v zájmu co nejrychlejší likvidace bezpečnostního incidentu dotyčný profesionál navrhne.
Základní výhodou outsourcingu bezpečnostních služeb je tedy skutečnost, že klient má k dispozici profesionální servis s kvalitami, které by z vlastních zdrojů získával s neporovnatelně vyššími finančními náklady. Další výhodou je možnost sjednání jasných pravidel a garancí, i když je třeba brát v úvahu výše zmíněná omezení. Vzhledem k těmto výhodám se outsourcing stává stále více populární i v tak velmi choulostivé oblasti, jakou bezpečnost dat nepochybně je.
ředitel PCS Software, spol. s r. o.
Související
Zaujal vás článek? Pošlete odkaz svým přátelům!
Tento článek je odemčený. Na tomto místě můžete odemykat zamčené články přátelům, když si pořídíte předplatné.
Newsletter týdeníku Ekonom.
Každou středu vám představíme nejzajímavější texty aktuálního vydání, které si můžete přečíst na webu ekonom.cz. Týdeník Ekonom vám už více jak 33 let přináší zajímavý obsah, bez kterého nemůžete být, který vás rozvíjí a baví!
Odhlásit se můžete kdykoliv.
Přihlášením k newsletteru beru na vědomí, že dochází ke sbírání a zpracování osobních údajů. Více informací o zásadách ochrany osobních údajů naleznete ZDE.
