Vilka lärdomar drar vi av Transportstyrelsens outsourcinghaveri?

IT-skandalen på Transportstyrelsen har stötts och blötts i media och övriga forum de senaste månaderna. Affären har resulterat i såväl avsatta ministrar som strafföreläggande av Transportstyrelsens generaldirektör. Den kanske enda positiva effekten av affären är att informationssäkerhet med största sannolikhet kommer stå högst på dagordningen hos alla företag som går ut i driftupphandlingar framöver, såväl hos myndigheter som inom näringslivet.

Under drevet kring affären har det också talats flitigt om begreppet ”outsourcing” både i medier och bland politiker. I många debatter har också just själva företeelsen outsourcing lyfts fram som orsaken till situationen på Transportstyrelsen. Här håller vi inte alls med.

Outsourcing av myndighets-IT – rätt eller fel?

Grundläggande IT-hantering såsom infrastruktur/kapacitet, drifttjänster, administration, installationer etc. har idag standardiserats till hyllvara hos såväl mindre som stora IT-leverantörer. Stordriftsfördelarna inom datacenter-teknologi innebär också lägre enhetskostnader desto större miljö man producerar, vilket i kombination med konkurrens driver lägre priser för slutkunden.

Att varje myndighet själv skulle producera en silo av infrastruktur och kompetens för att hantera sina, ofta väldigt generiska, IT-behov är något som varken skulle bli säkrare eller billigare. Tvärtom skulle det driva avsevärt högre kostnader i infrastruktur och ställa stora krav på detaljteknisk kompetens, vilket i sin tur skulle innebära ett stort behov av specialistkonsulter. Driftansvaret 24/7 skulle man också vara fast med själv. Det här har provats i många år och outscourcing-trenden är ett resultat av att det aldrig fungerade särskilt bra.

Kostnadsbesparing används ofta som huvudanledning till outsourcing, kanske för att det är lättast att mäta och fatta beslut kring. Men att gå från statisk, ofta eftersatt, egen infrastruktur till tjänstebaserad IT-leverans där behovet allt mer dynamiskt kan styra omfattningen medför större vinster än att minska månadskostnaden. Minst lika eftersträvansvärt är att kunna åtnjuta större flexibilitet och minska internt operativt ansvar, då det erbjuder möjlighet att lägga mer internt fokus på att komma närmare sina användare och vidareutveckla sitt interna IT-erbjudande.

Att Transportstyrelsen har valt ATT outsourca sin IT är således inte problemet, däremot ligger felet i HUR man bedrev sin kravfångst och att man valde att åsidosätta sina krav för att möta deadline. MissionPoints åsikt är att samtliga myndigheter och företag bör outsourca sådant som någon annan kan göra billigare och bättre, så länge som det är genomförbart utan att tumma på kraven. Men man får aldrig göra misstaget att tro att man kan outsourca sitt yttersta ansvar. Outsourcingleverantörerna kommer alltid vara en leverantör, inte en förlängning av den egna organisationen.

“You Can't Protect What You Don't Know”

Att inkludera en extern part i ett företags IT-drift är alltid komplext; lyckade outsourcingrelationer, precis som alla relationer, kräver att man lär känna varandra över tid för att samarbetet skall utvecklas. Men vissa saker måste sitta redan från start för att det någonsin skall kunna bli rätt, därför är en omfattande kravanalys inför en upphandling är avgörande för projektets framgång.

När det gäller informationssäkerhet finns en grundregel som lyder att "det man inte förstår kan man inte skydda”. Innan man har full koll på sina unika krav så kan man inte besluta om tjänster kan handlas upp externt, vilken leveransform som skall gälla och vilka krav som tjänsterna och dess leverantörer måste uppfylla.

En av de första aktiviteterna med våra kunder är alltid att genomföra en system- och informationskartläggning, som därefter klassificeras bl.a. utifrån sekretess, spårbarhet, riktighet och tillgänglighet. Vi identifierar också vilka affärsprocesser som informationstillgångarna stödjer samt vilka regulatoriska ramverk som företaget och resp. informationstyp lyder under. En vanlig insikt efter detta arbete är att även befintlig IT-leverans har svårt att möta dessa krav.

Utöver att en undermålig kravställning kring informationssäkerhet kan få stora konsekvenser vid outsourcing, så har alla företag även den nya dataskyddsförordningen (GDPR) att ta hänsyn till. GDPR innebär att kraven på hur personuppgifter får insamlas, lagras och hanteras skärps ordentligt. Även här gäller det att säkerställa god insikt i sina system- och informationstillgångar för att kunna arbeta med sin efterlevnad och förbättring.

MissionPoint har som exempel bistått Attendo i deras klassificeringsarbete inför GDPR. Läs mer om deras erfarenheter hos IDG och hur fokus legat på just inventering, informationsklassning och riskanalys i förberedelsearbetet. Vår egen Gregor Ålund ger också sina spaningar gällande GDPR-förberedelser här.

Skulle ett ”myndighetsmoln” göra outsourcing lättare?

Det har pratats en hel del om s.k. "myndighetsmoln" på senare år, alltså en gemensam, nationellt placerad, standardiserad infrastrukturplattform för myndigheters IT-miljöer. Statens Servicecenter eller annan lämplig myndighet skulle således kunna erbjuda en rad standardiserade IT-tjänster där faktorer såsom fysisk säkerhet, säkerhetsklassning av tekniker, tryggad tillgång till informationen i händelse av krig, leverantörskonkurs etc. skulle kunna garanteras.

Upphandlande myndighet skulle behöva ta färre tekniska faktorer i beaktande, och riskerna för felaktiga beslut skulle minska. Marknaden skulle fortsatt få tävla om arkitektur, hantering och administration av systemmiljöer. Men den grundläggande kapaciteten skulle elimineras från alla upphandlingar. Identiteter för administrativ personal skulle också kunna hanteras och godkännas centralt; person för person, system för system.

Redan idag erbjuder Amazon och Microsoft s.k. "Government Clouds" i USA, i princip kopior av deras publika molntjänster (AWS och Azure) men i separata datacenter certifierade för att klara myndighetskrav. Fördelen med att låta etablerade molnleverantörer hantera myndighetsmolnet som ett blir att marknaden ändå får ett ansvar för innovation och vidareutveckling; då det annars föreligger stor risk att myndighetsmolnet snabbt skulle bli både dyrt och omodernt.

Det är sannolikt bara en tidsfråga innan motsvarande tjänster realiseras i Sverige. När det väl finns så kan marknaden fortsätta tävla om arkitektur och hanteringen av dessa miljöer.

MissionPoints recept för lyckad outsourcing

  • Kartlägg och klassificera samtliga system- och informationstillgångar
  • Specificera tillgänglighetskrav på drifttjänster i terminologi som leverantörer är vana vid (SLA, tjänstetid, inställelsetid, RPO/RTO etc.)
  • Förstå din regulatoriska omgivning; vilka krav lyder din verksamhet under?
  • Säkerställ att verksamheten är redo att samverka med extern leverantör; upprätta nödvändig organisation kring system- och informationsägarskap samt förvaltning
  • Driv inte outsourcing som ett renodlat IT-projekt, säkerställ att systemägare och powerusers medverkar i kravarbete och leverantörsval
  • Genomför risk- och sårbarhetsanalyser för att aktivt kunna mitigera dessa
  • Upprätta katastrofplaner och prioritera affärsprocesser i förhållande till varandra
  • Lämna inte arkitekturen helt upp till driftleverantören, var involverad och säkerställ att inte SLA:er enbart blir en ekonomisk kalkyl (vite i förhållande till risk).
  • Teckna inte för långa avtal. Kostnadsutvecklingen är stor, och risken är att du snabbt betalar överpriser. Kräv att leverantören har en prislista för sina standardtjänster och förhandla in en årlig jämkning mot denna.
  • Lås inte in kapacitet och arkitektur för hårt i avtal; säkerställ att du har flexibilitet att låta omfattningen förändras med behovet.
  • Förvänta dig inte att leverantören kommer driva proaktivitet och innovation; se leverantören som ”händer” och säkerställ att du har ”hjärnan” på hemmaplan. Vår erfarenhet säger att incitamentsmodeller för proaktivitet aldrig fungerar i praktiken.

MissionPoint är experter på förändringsledning och outsourcing av IT-miljöer hos medelstora företag. Vi har en beprövad metod för kravfångst inför outsourcing; såsom färdig process för system- och informationsklassificering, risk- och sårbarhetsanalyser samt informationssäkerhetsworkshops för att öka medvetenheten kring IT- och informationssäkerhet på ledningsnivå.

Kontakta gärna oss om ni står inför dessa utmaningar!

Rekommenderad läsning:

Läs om hur IT-miljön kan effektiviseras med väl balanserade krav på informationssäkerhet