22.12.2008

Czy można zaufać firmie outsourcingowej przetwarzającej wrażliwe dane i dokumenty firmy?

Outsourcing jak wiadomo polega na oddaniu na zewnątrz (zewnętrznemu partnerowi) zadań, które nie są związane bezpośrednio z podstawową działalnością firmy. Decydując się na outsourcing trzeba mieć świadomość tego, że przekazuje się zewnętrznej firmie dane i informacje, które mogą mieć dla firmy strategiczne znaczenie, a więc w umowie outsourcingowej warto zwrócić też uwagę na to, że zleceniobiorca powinien ponosić pełną odpowiedzialność za bezpieczeństwo powierzonych mu czynności. Właściwie firma świadcząca usługi outsourcingowe, która nie gwarantuje swojemu zleceniodawcy odpowiedniego poziomu bezpieczeństwa, nie ma racji bytu na rynku. To jakby jedna strona medalu. Nie chcę tu straszyć potencjalnych zleceniodawców tym, że outsourcing jest niebezpieczny. Bardzo często – mówią o tym różne badania – to właśnie z firm wyciekają różne dane i poufne informacje, co znaczy, że wewnętrzne systemy bezpieczeństwa są zdecydowanie mniej szczelne niż to, co ofertują i zapewniają firmy outsourcingowe. I dotyczy to zarówno danych zgromadzonych na nośnikach elektronicznych, jak i przekazywanych na papierze.

Tańsze bezpieczeństwo

Warto w tym miejscu zwrócić uwagę, że często w firmie systemy zapewniające bezwarunkowe bezpieczeństwo byłyby zbyt drogie, a w przypadku firm outsourcingowych koszt wdrożenia takich systemów rozkłada się na większą liczbę użytkowników i dzięki temu można takie systemy z powodzeniem stosować. Tak naprawdę dla outsourcera bezpieczeństwo jest produktem i trzeba korzystać z tego, że uzyskuje się dla firmy nieporównanie wyższy standard bezpieczeństwa niż ten, który można zapewnić samodzielnie.

Bezpieczeństwo techniczne u outsourcerów zapewniają procedury Firma jest dzielona na strefy i zwykle jest w pełni monitorowana. Instalowane są różne alarmy antywłamaniowe i pożarowe, jest też zwykle elektroniczna kontrola dostępu. Dokumenty, jeżeli trafiają do takich firm w wersji papierowej, są przetwarzane przez nowoczesny sprzęt z oprogramowaniem do zarządzania dokumentami i informacją, a kopie bezpieczeństwa przechowuje się odpowiednio zabezpieczone w ogniotrwałych sejfach. Właściwie jeżeli mówimy o bezpieczeństwie dokumentów to zawsze najsłabszym ogniwem w łańcuchu przeróżnych zabezpieczeń jest człowiek, czyli pracownik. W outsourcingu też tak jest, ale to już jest zmartwienie zleceniobiorcy. On odpowiada za bezpieczeństwo i dlatego jego pracownicy są szczególnie starannie rekrutowani, szkoleni i kontrolowani. W sumie ryzyko jest zwykle mniejsze niż w firmie. Dla zleceniodawcy pewną wskazówką co do bezpieczeństwa mogą być certyfikaty jakimi legitymuje się zleceniobiorca (np. status SAP Global Hosting Partner) i gwarancje jakich udziela. Poza tym zawsze, aby mieć pewność, że outsourcer gwarantuje wysokiej jakości zabezpieczenia i poziom poufności danych oraz ich ochrony, te warunki powinny być dokładanie określone w umowie outsourcingowej. Z reguły usługodawcy zależy na zapewnieniu klientowi optymalnego bezpieczeństwa.

Dla banków

Temat bezpieczeństwa jest szczególnie drażliwy w przypadku gdy chodzi o usługi dla banków i różnych innych instytucji zaufania publicznego. Outsourcing jest coraz popularniejszą formą usługi i prawdopodobnie z powodu północnoamerykańskiego kryzysu będzie to coraz częstsze rozwiązanie obniżające koszty działalności firmy. Z tej formy usług korzysta większość dużych przedsiębiorstw, ale nie tylko, bo ich śladem podąża coraz więcej firm z sektora małych i średnich. Co roku zwiększa się też zakres tych usług. Jeszcze kilka lat temu outsourcing był synonimem obsługi IT, a obecnie coraz popularniejsze staje się wydzielanie na zewnątrz przedsiębiorstwa takich procesów jak back-office, obsługa klienta i korespondencja. Badania przeprowadzone w październiku 2008 r. na zlecenie firmy ArchiDoc wykazały, że z oferty firm zewnętrznych w tym zakresie korzysta przede wszystkim:

• sektor finansowy (73 proc.)
• motoryzacyjny (64 proc.)
• infrastrukturalny (45 proc.).

Ponieważ przetwarzanie dokumentów z wrażliwymi danymi przez zewnętrzną firmę zawsze powodowało obawy o ich bezpieczeństwo, więc wydzielanie na zewnątrz procesów zawiązanych z obsługą takich dokumentów powinno wynikać jedynie z potrzeb. Oczywiście zanim podpisze się zlecenie, warto przeprowadzić pogłębioną analizę struktury firmy i oczekiwań, jakie będą związane z tą decyzją. Zwłaszcza jeżeli zleceniodawcą ma być bank. Obecnie firmy outsourcingowe są w stanie zapewnić instytucjom finansowym najwyższy poziom bezpieczeństwa, który osiągają dzięki stosowaniu zaawansowanych technologii i najbardziej nowoczesnych procedur zarządzania informacją. Te firmy bardzo często korzystają też z zewnętrznych doradców, którzy wdrażają również standardy bezpieczeństwa określone w międzynarodowych normach prawnych, a także oferują wysoko wykwalifikowaną kadrę, licencjonowanie systemy informatyczne i niezbędną infrastrukturę. Usługodawcy dodatkowo gwarantują też klientowi raporting oraz stały dostęp do danych. Badanie wykazało też, że outsourcer – dzięki posiadanemu know-how, doświadczeniu i specjalizacji – spełnia wymogi bezpieczeństwa na wyższym poziomie niż jest to we własnej wewnętrznej strukturze instytucji finansowej.

Warto też pamiętać, że ze względu na specyfikę prowadzonej działalności firmy outsourcingowe realizujące zlecenia z sektora bankowego systematycznie monitorują zagrożenia i na podstawie tych obserwacji udoskonalają swoje systemy bezpieczeństwa zgodnie ze zmienioną polityką bezpieczeństwa. Trzeba też pamiętać, że przy analizowaniu należy brać pod uwagę wszystkie czynniki, które wpływają na bezpieczeństwo dokumentów (nie tylko fizyczne) systemów informatycznych, jak też potencjalną możliwość naruszenia zbiorów danych przez ataki z internetu lub samych pracowników.

Lech Piesik

Marek Bronder, Dyrektor Zarządzający ds. Sprzedaży i Rozwoju ArchiDoc:

Od września ubiegłego roku ArchiDoc realizuje projekt outsourcingowy z zakresu back-office dla jednej z największych instytucji finansowych na polskim rynku – Kredyt Banku wchodzącego w skład międzynarodowej grupy bankowo-ubezpieczeniowej KBC. Troska o wysoką jakość obsługi klientów Kredyt Banku i chęć przyspieszenia procedur kredytowych skłoniły bank do nawiązania współpracy z nami, firmą specjalizującą się w outsourcingu procesów back-office. My z kolei respektując wysokie wymogi w zakresie bezpieczeństwa jakie postawił nam Kredyt Bank, na potrzeby tego projektu stworzyliśmy wydzieloną infrastrukturę informatyczną. Do wykonania tej usługi wydzielono również przestrzeń w naszymi Centrum Operacyjnym w Warszawie. Powierzenie nam obsługi dokumentacji kredytowej pozwoliło na uporządkowanie i zoptymalizowanie tego procesu. Ponadto jedynie uprawnieni pracownicy banku mają dostęp do pełnej dokumentacji klienta. Jednocześnie cały proces jest realizowany w oparciu o najwyższe normy bezpieczeństwa, określone w umowach SLA. Warto tu dodać, że firmy outsourcingowe przechodzą różne audyty, zarówno wewnętrzne jak i zewnętrzne, przeprowadzane przez bank i instytucje nadzoru bankowego. To gwarantuje ciągle doskonalenie i usprawnianie obsługi procesów zrealizowanych przez nas.