Fokus på sikkerhetssvikt i IT-systemene til blant annet Nødnett, Helse Sør Øst og Statoil har ført til stor pågang fra usikre ledere som ønsker råd i forkant av outsourcing.
– Problemet er at det ofte er for dårlig risikovurdering før man tjenesteutsetter. Det vi ser er at økonomi er viktig når ledelsen bestemmer seg for å outsource, og at man ikke fokuserer nok på IT-sikkerhet. Men god IT-sikkerhet er god økonomi, sier leder for strategisk cybersikkerhet i Nasjonal sikkerhetsmyndighet (NSM), Bente Hoff.
Det er en økende trend at private og offentlige virksomheter tjenesteutsetter IKT-driften. NSM mener IKT-sikkerhet må inn i ryggmargen på toppene i samfunnet.
– Når selskaper outsourcer må IKT-sikkerhet og risikovurdering av prosjektet vurderes nøye av toppledelsen og styret. Når offentlige virksomheter skal outsource kritisk infrastruktur bør dette være forankret hos det enkelt departementet, sier Hoff.
Råd ved outsourcing
På grunn av den store pågangen fra ledere som vil ha råd om outsourcing har NSM for første gang utarbeidet en manual med konkrete råd ved outsourcing av IT (se faktaboks).
NSM fremhever også at toppledelsen må være lydhøre for innspillene fra egne fageksperter og ansatte.
Erfaring viser at det er nettopp her det svikter. Det skjedde for eksempel både i Helse Sør-Øst-saken og i Statoil hvor ansatte advarte mot konsekvensene av outsourcing uten å bli hørt av ledelsen.
Bra med råd
Ingeniørenes fagforbund NITO mener det er flott at NSM er på banen med konkrete råd. Men NITO-ledelsen synes at mange sjefer ser seg blinde på det de tror er muligheten til å kutte kostnader.
– Veldig mye handler om penger. Ledelsen tror at de vil spare penger om de outsourcer til et lavkostland, uten at de forstår at tid, kultur og språk er et aspekt, sier NITO-direktør Trond Markussen.
Han opplever at medlemmene forteller om sjefer som ikke lytter til råd fra ansatte når det gjelder IT-sikkerhet.
– Direktørene må lytte mer til fagfolkene, ta folk nedover i egen organisasjon med på råd. De som jobber med dette i det daglige vet hva som skal ivaretas, hvor risikoen ligger og hvor sikkerhetshullene kan oppstå, fremhever Markussen.