Arla: Sikkerhedskrav kom for sent ind i outsourcing-aftale

Da Arla overdrog dele af it-driften til IBM, blev sikkerhedskravene først defineret, efter aftalen var underskrevet. Det betød, at sikkerheden kom til at koste ekstra.

Den nordiske mejerigigant Arla Foods outsourcede i forbindelse med sammenlægningen af koncernens it-systemer en del af it-driften til IBM. Men den proces blev uventet kompliceret, da det kom til it-sikkerheden. Det fortalte it-sikkerhedschef Jens Roed-Andersen på IDC's konference om it-sikkerhed i denne uge.

Problemerne opstod, efter aftalen om at outsource omkring 140 it-medarbejdere til IBM var indgået.

Det var nemlig først på det tidspunkt, at IBM bad Arla om at definere kraven til it-sikkerhed i forbindelse med outsourcingen.

»Når sikkerhedskravene kommer, efter aftalen er indgået, så er det en udfordring, når leverandøren så siger, at det kan vi godt implementere for jer, men det koster ekstra,« fortalte Jens Roed-Andersen.

Arla Foods definerede en minimunsliste med 25 sikkerhedskrav. Det var ifølge Jens Roed-Andersen en svær opgave, men koncernen er nu endt med at fokusere på at beskytte de vigtigste data frem for kun at fokusere på infrastruktur.

Men Jens Roed-Andersen undrer sig over, at IBM ikke gjorde sikkerhedskravene til en del af selve outsourcing-aftalen.

»Det ville det gøre det lettere for IBM at holde andre leverandører ude. Da vi for eksempel skulle have nyt CMS, så kom andre leverandører ind i billedet, indtil sikkerhedskravene kom på bordet. Så steg prisen fra de andre leverandører, mens IBM kunne give noget economy of scale. Jeg forstår ikke, hvorfor det ikke er en forretningsstrategi,« sagde Jens Roed-Andersen.

Arlas næste udfordring på den front bliver at formulere en mere enkel sikkerhedsstrategi i forbindelse med, at flere data flytter ud i skyen. Det vil ifølge Jens Roed-Andersen nemlig være for dyrt, hvis den nuværende sikkerhedsmodel skulle anvendes på cloud computing.

Selvom Arla nu er tilfredse med den outsourcing, IBM har leveret, så ville Jens Roed-Andersen i dag have valgt en anden tilgang, hvis processen skulle starte forfra.

»Vi outsourcede nok for meget. Hvis man har et problem og outsourcer det, så har man stadig et problem,« sluttede Jens Roed-Andersen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere