Zweifelsohne ist der Aspekt der Kostenreduzierung immer ein wesentlicher Treiber für Outsourcing Initiativen bei allen Unternehmen, auch wenn es bei erfolgreichen Umsetzungen nie der alleinige Faktor ist. Bei der Bewertung aller Kostenvorteile darf die IT Sicherheit nicht außer Acht gelassen werden. IT Sicherheit hat im Outsourcing denselben Stellenwert wie bei der eigenen IT, wobei sich im direkten Vergleich Unterschiede in den Kostenstrukturen ergeben.

Empirische Forschungsergebnisse legen den Schluß nahe, dass outsourcende Unternehmen auch bei der IT Sicherheit Kosteneinsparungseffekte erzielen. Eine von RTI International durchgeführte Untersuchung aus dem Jahr 2007 beziffert beispielsweise die IT Sicherheitskosten bei outsourcenden Unternehmen mit 3,6% des IT Budgets, während Unternehmen mit rein interner IT immerhin 6,8% ihres Budgets einsetzen.

Bei der Interpretation dieses signifikanten Unterschieds sind gegenläufige Argumentationen zu berücksichtigen. Einerseits wird in vielen Fällen ein erhöhtes Sicherheitsbedürfnis des Geschäftsbereichs dazu führen, dass Outsourcing überhaupt nicht in Frage kommt beziehungsweise nicht in Betracht gezogen wird. Außerdem wird in Betracht zu ziehen sein, dass konservativ geführte IT Bereiche dazu neigen, sich durch höhere Investitionen in die IT Sicherheit zu definieren. Es liegt daher nahe, in den geringeren IT Sicherheitsbudgets ein Zeichen der Unterschätzung von unternehmenskritischen Risiken zu sehen.

Andererseits ist ebenso belegt, dass auch bezüglich der IT Sicherheit durch Outsourcing Skaleneffekte erzielt und damit Einsparungspotenziale realisiert werden können. IT Sicherheit ist demnach als Qualitätsmerkmal des Outsourcings aufzufassen, dass als solches auch den übrlichen Standards der IT Governance unterworfen ist.

Nach ISO/IEC 27002:2005 empfiehlt sich daher beispielsweise eine Sicherheitspolitik für das Outsourcing mit folgenden wesentlichen Inhalten zu definieren.

• Anwendungsbereich der Sicherheitspolitik
• Auswahlkriterien für Outsourcing Partner
• Bewertung der mit Outsourcing verbundenen Risiken
• Vertragsregelungen und Vertraulichkeitsvereinbarungen
• Personalmanagement von Outsourcing Partnern
• Zugriffsrechte für Outsourcing Partner
• Sicherheitsaudits
• Verantwortlichkeitsregelungen

INFOPULSE ist ein Unternehmen, das IT Sicherheit nach den ISO 27000 Standards als integraler Bestandteil seiner Outsourcing Dienstleistungen versteht und daher Schlüsselprozesse der IT Sicherheit nach internationalen Standards zertifiziert hat.

Aufgrund der umfangreichen Erfahrungen kann INFOPULSE bestimmte Aufgaben auch als Dienstleitsung anbieten, beispielsweise Sicherheitsaudits und Penetrationstests.

Bei Interesse erhalten Sie unser WHITEPAPER zu unseren Dienstleistungen im Bereich der IT Sicherheit hier...

Den Link zur zitierten RTI Studie sowie weiterführende Hinweise finden Sie hier...

Beachten Sie bitte auch die Ankündigung der WEIS Veranstaltung in 2012 in Berlin

Eine Vorlage für eine IT Sicherheitspolitik für Outsourcing finden Sie hier...