Kursus „E-ITSi abiga turvaline väljasttellimine“ õpetab hindama väljasttellimisega seotud riske, aitab ette valmistada lepingute sisu ja jagab ka muid nõuandeid, mis kuluvad ära IT-teenuste sisseostmisel.
Väljasttellimine võimaldab ettevõtetel või asutusel keskenduda oma põhitegevustele, parandades efektiivsust ja vähendades kulusid. Välist abi saab kasutada näiteks IT-seadmete hooldamisel, andmete majutamisel, personali- ja raamatupidamistarkvara kasutamisel, veebilehe loomisel jne.
Samas on ülimalt oluline, et teenuse sisseostmisel arvestataks ka võimalikke riske ja järgitaks turvanõudeid. „Tarneahela turvalisus on muutunud viimastel aastatel järjest tähtsamaks teemaks kogu maailmas. Ka Eestis on mitmed tõsised küberründed toimunud just väliste IT- ja raamatupidamisteenuste pakkujate kaudu,“ ütles RIA riigi infoturbe meetmete osakonna juht Rain Ojastu.
Riskide vähendamiseks on väljasttellimisel vaja käbi mõelda kogu teenuse elutsükkel alustades selle loomisest kuni välise partneriga koostöö lõpetamiseni. „Tuleb algusest peale kokku leppida, milles teenus seisneb, kuidas tulemust hinnatakse, kuidas tullakse toime teenusekatkestuse või muu hädaolukorraga ning kuidas suhtutakse allhangetesse. Teenuse sisseostmine nõuab pidevat koostööd välise partneriga, et tagada teenuse jätkusuutlikkus ja sobivus organisatsiooni IT-arhitektuuriga,“ selgitas Ojastu.
Varasemates kokkulepetes hakatakse tavaliselt näpuga järge ajama alles siis, kui midagi läheb valesti: tundlikud isikuandmed lekivad, andmebaas hävib tehnilise rikke tõttu või süsteemid krüpteeritakse lunavaraga ning selgub, et varukoopiaid polegi olemas. Intsidendi tagajärjel võib ettevõtte majandustegevus seiskuda, arved ja töötajate palgad maksmata jääda ning terviseandmete puhul isegi inimeste tervis ja elu ohtu sattuda.
Seetõttu tuleb lepingusse täpselt kirja panna, mida teenusepakkujalt oodatakse ning kus jookseb piir enda ja partneri tegevuste vahel – ainult siis, kui vastutuse piirid on selged, on võimalik riske adekvaatselt hinnata ja maandada. Samuti on vaja kokku leppida nõutav teenuse tase ehk millist töökindlust ja reageerimise kiirust saad partnerilt eeldada. Mida abstraktsem ja hägusem on ootus, seda ebamäärasem ka leping.
RIA eestvedamisel koostatud e-koolitus on tasuta ja huvilised saavad selle läbida endale sobival ajal Digiriigi Akadeemia õppeplatvormil.
Väljasttellimisel tuleb muu hulgas läbi mõelda:
- Teenusepakkuja ruumide füüsiline turvalisus.
- Inimressursid – teenuseandja töötajatel võib tekkida vajadus viibida tellija ruumides näiteks seadmete hooldamiseks vms. Lühiajaliselt tellija ruumides tegutsevaid töötajaid koheldakse külalistena.
- Alternatiivsed teenuseandjad – tellijal on ülevaade ka teistest samas valdkonnas teenust pakkuvatest ettevõtetest. Kui asendust pole, on vaja tegevusplaani juhuks, kui tekib tõrge, mis võib viia ka lepingu ennetähtaegse lõpetamiseni.
- Allhankijate kasutamine – kui kaasatakse allhankijaid, siis tuleb otsustada, kui palju ja millist infot tuleb teenusepakkujal nende kohta kliendile anda ning kas ja kui põhjalikult tuleb teha taustakontrolle.
- Teenuseandja sobivus – teenusepakkuja valikul tuleb hinnata teenuse sobivust ja vastavust kliendi turvanõuetele, pakkuja mainet ja soovitusi, personali kvalifikatsiooni ning välismaise ettevõtte puhul ka ärikultuuri.
- Teenuse lõpetamine – teenuse elutsükli lõppedes peab olema selge protseduur info ja varade, mh andmete ja logide, üleandmiseks. Samuti tuleb mõelda, kuidas tagada teenuse jätkumine, kui alternatiivseid teenuseandjaid ei ole saadaval.