Berit Svendsen om outsourcing: – Da måtte vi bare stoppe prosjektet

Da Telenor satte ut et prosjekt til India, måtte de til slutt sette bremsene på. Nå deler Berit Svendsen sine beste råd for outsourcing.

Berit Svendsen, sjefen for Vipps' internasjonale satsning (t.h.) og Jack Fischer Eriksen, leder av Næringslivets sikkerhetsråd (t.v.).

Foto: Johan Nordstrøm, E24
  • Johan Nordstrøm
Publisert:,

Berit Svendsen tar scenen ved et seminar hos KPMG. Den energiske topplederen trekker frem et eksempel fra tiden da hun var Telenor Norge-sjef.

Hun snakker om det såkalte Star-prosjektet som skulle modernisere og forenkle fastnettsvirksomheten til Telenor på tale og bredbånd i kobbernettet.

For å nå selskapets mål om å spare penger og sikre lønnsomhet, valgte Telenor i 2014 å sette ut hoveddelen av Star-programmet til indiske Tata Consulting System (TCS), en av verdens største tjenesteleverandører innenfor IT-løsninger.

Prosjektet ble stoppet av Telenor i 2016. Dette ble omtalt i blant annet Aftenposten.

– Vi oppdaget at vi ikke klarte å utvikle tette nok skott i våre systemer. Inderne som skulle gjøre en jobb for oss ville blant annet komme til å se informasjon om våre nett gjennom tilgang til kritiske drifts- og styringssystemer som det kreves autorisasjon etter Sikkerhetsloven for å jobbe med, sier Svendsen til E24.

– Dette går ikke

Samtidig viser hun til at det ble alt for komplisert å utvikle tette skott for å sikre de kritiske systemene. Inderne ville da få se for mye informasjon, i forhold til det lovverket Telenor er underlagt.

– Da måtte vi bare stoppe prosjektet, og si at dette går ikke, sier Svendsen.

Hun understreker at Telenor gjorde det riktige.

– Vi stilte de riktige spørsmålene, men vi klarte ikke å løse det. Så vi måtte bare si at vi kan ikke gå videre. Hadde vi gått videre, ville det ikke være i henhold til det lovverk Telenor er underlagt i Norge, sier Svendsen.

Svendsen mener at følgende prinsipper er forutsetninger for en vellykket tjenesteutsetting:

  1. Fagekspertisen bør forbli i Norge.
  2. All kundekontakt bør håndteres i Norge.
  3. Kvaliteten bør være like god eller bedre enn om oppgavene ble utført i Norge.
  4. Alle grensesnitt bør så langt det er mulig gjenbrukes.

– Når man skal tjenesteutsette, må man spørre hvilke data er det man tjenesteutsetter, og hva motparten som man tjenesteutsetter til, kan gjøre med disse dataene, sier Svendsen.

Les også

Sikkerhetsekspert: – Mange selskaper henger ikke med

Vanskelig å sette ut tjenester til driftspersonell

Rådgiver Hans Pretorius i KPMGs avdeling for cybersikkerhet, synes eksemplet med Star-prosjektet er meget godt.

– Jeg er litt bekymret for at mange selskaper regulerer dette gjennom «soft policies», altså sier at dette skal du ikke få lov til å gjøre, men egentlig teknisk sett har du mulighet til å gjøre det, sier Pretorius til E24.

Han mener at i en tjenesteutsettingsdiskusjon holder det ikke med «soft policies».

– Da må man faktisk teknisk implementere en løsning som gjør at det ikke går an å nå andre data enn de du skal, sier Pretorius.

Samtidig peker han på at det er vanskelig å sette ut tjenester til driftspersonell.

– Driftspersonell trenger store rettigheter for å drive med drift. Derfor er det vanskelig å lage tette skott, og si at denne sonen her er grei, sier Pretorius.

Han er bekymret for at mange selskaper ikke digitaliserer på en sikker måte, til tross for at dette er fullt mulig.

– Jeg tror at det er for mange bedrifter som gjør for dårlige vurderinger, sier Pretorius.

Han peker på at man må stille de rette spørsmålene, gjøre de riktige analysene, og man må være trygg på at man har et miljø der det er mulig å sette grenser mellom data som du skal tjenesteutsette og data som du ikke skal tjenesteutsette.

– Mange har ikke kunnskap om hvor dataene er lagret

Jack Fischer Eriksen, leder av Næringslivets sikkerhetsråd (NSR) presenterte Mørketallsundersøkelsen 2018 ved seminaret til KPMG. I undersøkelsen man har intervjuet 1500 ledere.

– Det som vi ser i undersøkelsen vår er at en rekke selskaper tjenesteutsetter, men mange har ikke kunnskap om hvor dataene er lagret, sier Fischer Eriksen til E24.

Han mener at disse selskapene bør gå en ny runde og skaffe seg kunnskap om hvor dataene er lagret, hvilke data som er lagret der, hvilke verdier det utgjør for selskapet.

– Tåler selskapet å miste disse data? Tåler selskapet at andre får innsyn i disse data? Du må gjøre en grundig risikovurdering før du tar slike beslutninger, sier Fischer Eriksen.

Han mener at det er viktig å gjøre en vurdering av til hvilket land man ønsker å tjenesteutsette til.

– Jo lengre fra Norge, og jo mindre du vet om de landene, jo større bør skepsisen bli, sier Fischer Eriksen.

Les også

Fersk undersøkelse: Ledelsen er den største sikkerhetstrusselen for bedriften

Les også

Alt som kan digitaliseres, bør ikke digitaliseres

Les også

– Skremmende dårlige på IT-sikkerhet

Her kan du lese mer om

  1. IT-sikkerhet
  2. Digitalisering
mail
E24

Start dagen med

Morgengryn Logo

Hold deg oppdatert på de viktigste nyhetene, de siste nøkkeltallene, og dagens kalender. Tilbudet er gratis.

Flere artikler

  1. Berit Svendsen frykter nett-troll og mediestorm skremmer damene fra toppen

  2. Næringslivstopp var på krisekurs: Måtte øve på kidnapping i nære relasjoner

  3. Dette tjente næringslivets mektigste kvinner i 2017

  4. Annonsørinnhold

  5. Slik skal Norsk Tipping få de unge til å spille mer

  6. Betalt innhold

    Verdens største havvindmølle blåser mer liv i håpet om et norsk havvind-eventyr