Jednou z nejčastějších obav z outsourcingu, se kterou je možné se u nás setkat, je nedůvěra v bezpečnost vlastních dat a spolehlivost provozu. To se týká především oblastí, ve kterých se pracuje s kritickými nebo osobními daty, například bankovnictví, výroby na principu just-in-time, ale také státního sektoru. Obavy o bezpečnost a spolehlivost mohou být na místě, pokud je při sjednávání podmínek outsourcingu jednou nebo oběma stranami podceněno stanovení přesných pravidel. V tomto článku bych chtěl poskytnout alespoň stručný přehled oblastí, na které je důležité se soustředit, a řešení, která jsou v praxi využívána.

Hlediska bezpečnosti při outsourcingu
Ochrana dat je pouze součástí komplexního zajištění bezpečnosti a spolehlivosti provozu informačních systémů. Zodpovědnost za bezpečnost informací, zvláště pokud se zakládá na povinnosti vyplývající ze zákona o ochraně osobních údajů č. 101/2000 Sb. ve znění zákona č. 227/2000 Sb., v řadě případů totiž zůstává na tom, kdo je pořizuje a pracuje s nimi. Bezpečnost není jen o informacích, ale také o spolehlivosti zajišťovaného provozu (ochrana proti vlivu výpadků, resp. rychlost obnovy provozu, zálohování, zajištění bezpečnosti výpočetních center, provozování systémů ve více datových centrech) a zárukách obou partnerů z pohledu jistoty návratnosti investic (stabilita, zkušenosti, stávající referenční projekty v oboru, finanční zajištění). A právě v tomto může být při dodržení příslušných pravidel a postupů výhoda outsourcingu. Externí dodavatel, který je schopen realizovat projekty v požadovaném rozsahu, totiž již disponuje odpovídajícím technickým i personálním vybavením, zkušenostmi a v neposlední řadě také motivací, protože úspěšná realizace projektu zakládá reálný předpoklad na úspěšné oslovování dalších klientů. Outsourcing se zatím prosazuje převážně v soukromé sféře. Přitom možnosti, které nabízí pro státní sektor, jsou více než zajímavé. Bohužel jeho využití v současnosti brání stávající legislativa, která uzavírání outsourcingových kontraktů prakticky neumožňuje.

Základní principy bezpečnosti
Provozování informačních systémů, bez ohledu na to, zda je zajišťováno z interních zdrojů nebo externí firmou, by mělo splňovat následující základní tři pravidla:

. Důvěrnost informací - zajištění přístupu k datům pouze pro oprávněné uživatele.
. Integrita - zabezpečení správnosti a kompletnosti dat a metod jejich zpracování.
. Dostupnost - zaručení přístupu oprávněných uživatelů k informacím v případě potřeby jejich použití.

Způsob a míra zabezpečení podle výše uvedených principů závisí na požadavcích klienta a na jejich určení v rámcové smlouvě a přesné specifikaci v tzv. Service Level Agreement (SLA), tj. dohodě o úrovni poskytovaných služeb, způsobu jejich měření a případných sankcích. Východiskem je důkladná analýza procesů a možných rizik provedená na začátku outsourcingu i v celém jeho průběhu. Při stanovování podmínek je také možné vycházet z nezávislých bezpečnostních auditů. Není příliš obvyklé, že by společnosti, které si zajišťují správu dat a informačních technologií vlastními silami, aplikovali SLA také na interní zaměstnance a oddělení. Přitom je to jedna z možných cest, jak předejít případným problémům.

Outsourcing IT sice znamená převedení provozu na externího dodavatele, ale neznamená to úplné zproštění zodpovědnosti - ta je rozložena mezi obě strany, protože outsourcer informační systém sice spravuje, ale klient je stále jeho uživatelem a vlastníkem zpracovávaných dat. Pro správné a přesné stanovení pravidel a jejich následné dodržování je nezbytné vytvoření kompetentních týmů na obou stranách, které spolu průběžně komunikují, řeší problémy a zodpovídají za přesně specifikované oblasti. V závislosti na důležitosti dat a spolehlivosti provozu informačních systémů pro chod firmy jsou do těchto týmů zapojeni příslušní pracovníci v rámci celé struktury společnosti, a to až do úrovně vrcholového managementu. Tím se také řídí hierarchie při řešení preventivních opatření i případných problémů - méně závažné úkoly se řeší na úrovni nižší, zásadní kroky na úrovni top managementu obou společností.

Smluvní stanovení bezpečnosti v outsourcingu
Základní podmínky správy dat jsou dány již rámcovou smlouvou mezi klientem a dodavatelem. V ní jsou uvedena výchozí pravidla ochrany informací závazná pro obě strany. Sem patří například stanovení postupu při udělování přístupu zaměstnancům, ochrana proti neoprávněnému přístupu k datům i k technickému vybavení výpočetních center, ve kterých zpracování takovýchto dat probíhá, oboustranná informační povinnost v případě možnosti narušení ochrany dat, atd. Podrobné stanovení postupů a podmínek je obsaženo v SLA. Zde jsou přesně určeny odpovědné osoby, způsoby komunikace, archivace, krizové postupy, způsob monitorování a reportování klientovi, způsoby měření, atd. Je důležité také nezapomenout na variantu, kdy do smluvního vztahu vstoupí třetí strana, například v rámci subkontraktace. To je možné pouze po předchozím písemném schválení druhou stranou a pouze pro přesně danou oblast dat a přesně stanovené časové období.

Kvalitní smlouva o outsourcingu řeší tuto problematiku nejen pro období spolupráce, ale také pro případ vypršení smlouvy a jejího dalšího neprodloužení. V tomto případě je přirozená minimálně pětiletá ochranná lhůta.

Jak řešit případné porušení sjednaných podmínek
Nedílnou součástí outsourcingového vztahu je stanovení postihů v případě nedodržení podmínek jedné ze stran. To je oblast, kdy má outsourcing pro klienta jednoznačnou výhodu. Dodavatel totiž v případě porušení podmínek podstupuje výrazně vyšší riziko, než zaměstnanec klienta. Příkladem může být několik příkladů z minulosti, kdy v bankovním sektoru došlo k úniku osobních informací o klientech. V takovémto případě má společnost značně omezené nástroje na postih zaměstnance, minimální naději na alespoň částečnou náhradu škod, ale poměrně velkou jistotu zdlouhavých soudních jednání.

V případě outsourcingu je klient ve výrazně lepší pozici. Smluvní kompenzace v případě neoprávněného nakládání s daty, jejich poškození nebo dokonce ztráty jsou nepoměrně vyšší. Outsourcer navíc riskuje nejen ztrátu konkrétního zákazníka, ale především ztrátu dobrého jména. Důsledek je zřejmý - ztráta klientů a pozice na trhu.

Závěrem
Pokud je v případě rozhodnutí o outsourcingu mezi oběma stranami úzká spolupráce od samého začátku, bezpečnost správy informačního systému i zpracovávaných dat se zvýší. Jak již bylo řečeno, podmínkou je společné stanovení základních principů a cílů, vytvoření kompetentních týmů na obou stranách a přesná specifikace pravomocí, postupů a případných postihů v oblasti rámcové smlouvy i SLA.

Nezanedbatelným prvkem zajištění bezpečnosti je lidský faktor. Pokud má kdokoli přístup k důležitým informacím nebo technologiím a bude je chtít zneužít nebo poškodit, není prakticky možné mu v tom zabránit. Veškeré ochranné mechanizmy a postupy nakonec závisí na jednotlivci a s tím je také nutné počítat. V takovém případě je na zvážení, zda lze pouze spoléhat na loajalitu vlastních zaměstnanců, nebo svěřit správu dat externí firmě. Lidský faktor je vždy stejně významný, pouze profesionální záruky a šance na kompenzaci případných ztrát jsou ve druhém případě vyšší.

Pozn. red.: Autor článku, Martin Souček, zastává pozici manažera komunikace ve společnosti T-Systems Czech, s .r. o.