W marcu 2020 r. do wielu przedsiębiorstw zapukała nowa rzeczywistość. Koronawirus doprowadził do przejścia na pracę zdalną tam, gdzie było to możliwe. Wiązało się to z ogromnym wyzwaniem informatycznym zarówno w kontekście dostępnego sprzętu, jak i w sposobie zabezpieczenia infrastruktury informatycznej. Administratorzy nie odpowiadali już tylko za sieć, którą zarządzali, lecz również za połączenie pracownika korzystającego z własnego domowego dostępu do internetu.
Używanie przez pracowników własnej sieci budziło wiele pytań odnośnie do zabezpieczenia infrastruktury informatycznej, monitorowania ruchu sieciowego oraz zachowania samych pracowników. W wielu przypadkach procedury bezpieczeństwa IT nie były dostosowane do pracy zdalnej. Na szczęście po kilkunastu miesiącach większości firm udało się jednak oswoić z tą sytuacją.
Przybywa zagrożeń
Kiedy wydawało się już, że ten pożar ugaszono, wybuchły kolejne, silniejsze. Rosja zaatakowała Ukrainę. Inflacja poszybowała w górę. Ceny energii wzrosły o kilkadziesiąt procent. I to jeszcze nie koniec.
Firmom coraz trudniej gasić wszystkie pożary, a jednocześnie coraz więcej z nich opiera swój model działania na obecności w świecie cyfrowym. Przedsiębiorcy koncentrują się przede wszystkim na prowadzeniu biznesu i brakuje im czasu na zajmowanie się kwestiami IT, zwłaszcza cyberbezpieczeństwa. Do tego dochodzi brak odpowiedniej liczby specjalistów, szczególnie tych w branży IT. Niektóre z nich podkupują sobie najzdolniejszych pracowników. Oznacza to, że w zespołach jest duża rotacja, wciąż trzeba szkolić i wdrażać nowe osoby, co jest kosztowne i kłopotliwe.
Inna sprawa, że przy słabnącej koniunkturze gospodarczej główną siłą napędową jest ograniczenie kosztów. Raport PwC wskazuje, że w czasie pierwszego lockdownu aż 63 proc. średnich przedsiębiorstw ograniczyło działalność, a połowa zredukowała zatrudnienie.
Dlatego wiele firm wykorzystuje ekonomiczne punkty przeciążenia, aby przyspieszyć tempo outsourcingu. I tak jak w pandemii, tak w czasie kryzysu energetycznego przedsiębiorcom prościej jest wynająć zewnętrznych specjalistów IT, niż ich zatrudniać.
Dwie strony outsourcingu
Idea outsourcingu jest prosta – dostawca instaluje w siedzibie klienta niezbędny sprzęt i oprogramowanie według ustalonych potrzeb lub dostarcza rozwiązania w chmurze, co zyskuje w ostatnim czasie na popularności. Bierze także na siebie kwestię bieżącej obsługi, wprowadzania zmian i dalszej modernizacji stosowanych rozwiązań czy usług.
Outsourcing pomaga też w zapewnieniu zgodności z regulacjami. Część organizacji jest zobowiązana do zapewnienia odpowiedniego poziomu bezpieczeństwa IT w związku z ustawą o krajowym systemie cyberbezpieczeństwa. Z kolei absolutnie każda organizacja musi stosować się do założeń ujętych w rozporządzeniu o ochronie danych osobowych (RODO). Wejście w życie tych zmian prawnych sprawiło, że biznes zaczął chętniej decydować się na outsourcing usług z zakresu cyberbezpieczeństwa.
W 2021 r. firma doradcza Deloitte zapytała ponad 600 przedsiębiorstw z 45 krajów, jakie funkcje wydzielają ze swojej struktury organizacyjnej i zlecają ich prowadzenie innym podmiotom. Najczęściej wskazywali IT. Co więcej, 65 proc. badanych chwali sobie tego typu outsourcing, a co czwarty ma w planach jego rozszerzenie do 2026 r.
W grę wchodzą ogromne pieniądze. Jak wskazuje Ideamotive, portal rekrutacyjny dla programistów, rynek outsourcingu IT osiągnął wartość ponad 360 mld USD. Z jego badania wynika, że firmy korzystają z outsourcingu, bo gwarantuje: odpowiednio wysoką jakość usług oraz wsparcie doświadczonych pracowników IT (45 proc.); oszczędność pieniędzy (36 proc.); pozwala firmie skupić się na podstawowej działalności bez konieczności stałego dbania o firmowe zasoby informatyczne, inwestowania, szkolenia pracowników (35 proc.); poprawia elastyczność wykorzystania zasobów (29 proc.).
Nie bez znaczenia są oczywiście także poważne oszczędności – usługi outsourcingu IT nie należą do najtańszych, ale w niektórych przypadkach wydamy na nie mniej niż na budowanie i utrzymywanie odpowiedniego zespołu IT oraz własnej infrastruktury informatycznej.
Decydując się na outsourcing, firmy de facto kupują wiedzę i spokój. Mogą skorzystać z doświadczenia konsultantów, którzy podpowiedzą im np., jak przygotować się do audytu w obszarze cyberbezpieczeństwa, jakie rozwiązania dobrać do ich potrzeb czy wreszcie jak odpowiednio reagować na incydenty czy alerty bezpieczeństwa . Outsourcing to potencjalnie propozycja dla każdej firmy, niezależnie od jej wielkości. Może być pełny lub częściowy, dotyczyć może nawet bardzo wąskich wycinków, np. administrowania serwerem. Przedsiębiorstwa mogą zlecić zewnętrznym wykonawcom zarówno prostą opiekę serwisową, jak i zdalną administrację infrastrukturą IT, realizację wdrożeń nowych rozwiązań IT, aż po wynajem zewnętrznego serwera zawierającego bazę danych. Outsourcing IT to także opieka zarówno nad siecią komputerową, oprogramowaniem, jak i sprzętem.
Same zalety? Cóż, nie do końca – są i wady. Z przekazaniem zewnętrznej firmie dostępu do struktur krytycznych dla funkcjonowania przedsiębiorstwa oraz ich wewnętrznych systemów czy danych zawsze wiąże się pewne ryzyko. Często wiele problemów powoduje wybranie nieodpowiedniego dostawcy usług outsourcingowych – choć tego błędu na szczęście zwykle da się uniknąć (dlatego tak ważne jest staranne przejrzenie ofert i ustalenie szczegółowych warunków współpracy).
Outsourcing IT – z racji przekazania kompetencji specjalistom – jest też kosztowny, a przy tym słabo mierzalny, bo widzimy tylko efekt końcowy. Kolejnym problemem są niejednorodne raporty, przez co trudniej porównać wyniki analiz i stworzyć kompleksową strategię bezpieczeństwa.
Recepta: PAM Senhasegura
Jak wybrnąć z niechcianych kosztów? Rosnąca popularność outsourcingu IT sprawiła, że pojawiły systemy klasy PAM (privileged access management). Ich wdrożenie ma szczególne znaczenie w czasach, w których firmy przechodzą na zdalny, a także hybrydowy system pracy. Jego przydatność sprawdza się w organizacjach, które korzystają z wielu różnych usług chmurowych i pracują w systemie hybrydowym. Taki tryb działania wymaga stworzenia wielu uprzywilejowanych kont, które będą użytkowane w różnych lokalizacjach, a nieraz współdzielone przez wielu użytkowników.
Systemy PAM mają wiele funkcji, ale ich największą zaletą jest umożliwianie zarządzania tzw. najmniejszym przywilejem , czyli nadawania praw dostępu dla użytkowników na poziomie wymaganym do tego, by wykonali konkretne działania. Właśnie dzięki temu zewnętrzny specjalista nie będzie mógł robić niczego innego niż to, co zostało mu powierzone. Tu kryje się metoda na kosztową optymalizację outsourcingu IT, a również na wzmocnienie cyberbezpieczeństwa firmy.
Do najskuteczniejszych systemów PAM należy Senhasegura.
– Umożliwia on kontrolę pracowników, którzy mają dostęp do najbardziej wrażliwych, krytycznych systemów firmy – mówi Kamil Budak z DAGMA Bezpieczeństwo IT.
– Do tej części personelu należą firmowi administratorzy IT, ale również zewnętrzni dostawcy usług outsourcingu IT. Senhasegura PAM umożliwia kontrolowanie działań zewnętrznych specjalistów i czasu ich pracy, ale też daje firmie możliwość ingerowania w sesję w przypadku, gdy jej dokończenie może wystawić dane firmy na niebezpieczeństwo – dodaje.
Dzięki systemowi Senhasegura PAM firma ma możliwość kontrolowania wszelkiego typu dostępu do swoich danych, w tym tych, jakie uzyskują pracownicy zdalni, zewnętrzni dostawcy i ich pracownicy, a także partnerzy firmy i inni użytkownicy. W ten sposób firma ma zdolność, by nie tylko nadawać dostęp użytkownikom sieci firmowej do konkretnych systemów bez przekazywania im haseł, ale – co jest szczególnie cenne – może rejestrować, kontrolować i mierzyć ich pracę. To z kolei jest podstawą do zoptymalizowania kosztów outsourcingu IT, które w niektórych przypadkach mogą zostać zredukowane nawet o kilkadziesiąt procent.