Hvordan sikrer du data i forbindelse med outsourcing af udviklingsprojekter?

9. september 2014

Når der sker brud på datasikkerheden, står der i langt de fleste tilfælde et menneske bag. Det menneske behøver ikke befinde sig i Ukraine, Indien eller et helt tredje sted ude i verden, det kan lige så godt befinde sig i Danmark i din egen virksomhed. Det sidste halve år har vi i Danmark både haft en Nets-medarbejder, der udleverede kreditkortoplysninger, og en medarbejder hos SAS, som udleverede passagerlister. Så datalæk kan altså finde sted alle steder, hvor der er en medarbejder, som ikke helt forstår at følge loven.

En sikkerhedsbrist forårsaget af en menneskelig ”fejl” kan altså i princippet ske både in-house og hos din sourcingvirksomhed. Selvfølgelig kan risikoen være højere, når du outsourcer, fordi der så er nogle andre faktorer, der spiller ind:

1. Kulturen kan være anderledes i det land, du outsourcer til, og det er ikke sikkert, at landets udviklere har det samme syn som dig på, hvornår noget er rigtigt og forkert.

2. Sourcingpartneren bærer ikke samme risiko ved udviklingen, som du selv gør, og derfor har udviklerne ikke nødvendigvis den samme ansvarsfølelse over for opgaven.

Rigtig meget afhænger derfor af din tillid til din sourcingpartner og af kvaliteten af de udviklere, der arbejder med din opgave.Men derudover er der en række forholdsregler, du kan tage, når du outsourcer din softwareudvikling til en anden virksomhed. Forholdsregler som kan minimere risikoen for, at en udvikler bliver fristet til at ”dele” din udvikling med andre:

  1. Sørg for, at data og kildekode kun ligger på en server i din virksomhed. I stedet for at flytte rundt på data, kan I give softwareudviklerne adgang via en terminalserver.
  2. Undgå browseradgang og programmer som Skype, MSN m.v. til udviklerne, når de sidder på din opgave. På den måde kan de ikke kopiere data fra dit udviklingsprojekt. Hvis du vil være helt sikker på, at de ikke kan hente data ud, kan du kan desuden de-aktivere mulighed for ”copy”, ”print screen” og ”print”.
  3. Kræv dedikerede udviklere til din opgave, så de ikke fordeler deres tid mellem dit og en konkurrents projekt og dermed måske lader sig inspirere lidt for meget på kryds og tværs.
  4. Aftal, at der er låste døre ind til de enkelte projekter, så det kun er de udviklere, der arbejder på din opgave, som kan komme i nærheden af projektet.
  5. Sørg for at have alle forholdene omkring datasikkerhed som en del af kontrakten. Så har du i værste fald altid noget at holde sourcingpartneren op på.

Efter vores mening er der altid en risiko for, at data kommer i de forkerte hænder, når mennesker er involveret. Selvom vi personligt altid vælger at tro på det bedste i mennesker, findes der brodne kar, som ikke altid kan kende forskel på dit og mit.