Anskaffelser av IT-sikkerhetstjenester i offentlig sektor – 6 suksessfaktorer

23 august 2022 / Artikkel

Cybersikkerhet har høy prioritet hos de aller fleste organisasjoner, og behovet for IT-sikkerhetstjenester i offentlig sektor har nok aldri vært større. Anskaffelser av IT-tjenester handler om innkjøp av høy kompetanse og kan gi oppdragsgiveren en rekke utfordringer. Så hva bør man tenke på for å lykkes med anskaffelser av cybersikkerhetstjenester? I denne artikkelen forteller Helena Ankar og Marcus Mollison, Senior Bid Managerere i Iver, om sine erfaringer fra arbeid med offentlige anskaffelser og om hvilke suksessfaktorer de har identifisert i vellykkede anbudsprosesser.

6 tips for å lykkes med anskaffelser av IT-sikkerhetstjenester

1. Ta lærdom fra lignende organisasjoner

I en tidlig fase er det viktig å gjøre research og innhente informasjon som kan være nyttig for anskaffelsen. I offentlig sektor er det ofte stor vilje til samarbeid, og dere har derfor mye å vinne på å dra nytte av andres erfaringer fra lignende anbudsprosesser.

– Gjelder anskaffelsen en kommune eller fylkeskommune, bør dere se på hvordan nabokommunene har løst lignende problemer. Gjelder anskaffelsen et statlig organ, kan dere spørre andre lignende statlige vikrsomheter om å utveksle kunnskap fra tidligere anskaffelser. Det har utrolig stor nytteverdi å se på hva andre har gjort, og spørre for eksempel: «Hvordan gikk dere frem? Hvorfor gjorde dere det slik? Og ser dere i ettertid at det er noe dere burde gjort annerledes?» sier Marcus Mollison.

 

2. Still krav ut fra behovene i egen virksomhet (klassifiser dataene)

Like viktig som å se på hva andre organisasjoner har gjort, er det å gå tilbake til egen organisasjon og kartlegge hvilke behov dere har. På den måten sikrer dere at kravene til sikkerhetstjenester tar utgangspunkt i egen virksomhet.

– Vi ser ofte anbud der man stiller veldig strenge sikkerhetskrav, kanskje uten å ha tenkt gjennom hvilke behov virksomheten faktisk har. Det kan bli uforholdsmessig dyrt å velge høyeste sikkerhetsnivå på alle data når ikke alle er av sensitiv karakter. Dessuten innebærer et for høyt sikkerhetsnivå at det blir unødig komplisert å bruke systemene. Derfor er det viktig å gjøre hjemmeleksen sin og finne ut hvilke data som trenger hvilket sikkerhetsnivå, forklarer Helena Ankar.

Så hvordan vet dere hvilket sikkerhetsnivå dere trenger? For å finne ut det må dere se på hvilken type informasjon dere håndterer i organisasjonen, og klassifisere dataene ut fra hvilken karakter de har.

Alle data en organisasjon håndterer, er ikke sensitive. Så ved å gjøre en dataklassifisering kan dere som oppdraggiver danne dere en grunnleggende forståelse av den informasjonen dere håndterer, hvor ansvaret skal ligge, og hvilke sikkerhetsnivåer dere trenger for ulike typer data.

– Dere må ganske enkelt gjøre denne jobben for å kartlegge behovene og vite hvilke krav dere skal stille til leverandører for å finne riktig løsning.

 

3. Husk at anskaffelsen bør omfatte det menneskelige aspektet ved sikkerhet

Ved anskaffelser av IT-sikkerhetsløsninger er det lett å glemme at IT ikke lenger er en isolert del av virksomheten, men i stedet gjennomsyrer alt moderne virksomheter gjør. Når det gjelder cybersikkerhet, er det derfor mange parametere dere bør ta med i betraktningen. Ifølge Helena Ankar, Senior Bid Manager i Iver, glemmer oppdragsgivere av og til dette:

– Det er veldig vanlig at anskaffelsen bare fokuserer på sikkerhet i system. Samtidig vet vi at personalet utgjør den aller største risikoen for virksomhetens IT-miljø. For cybersikkerheten blir derfor opplæring av brukerne ekstremt viktig. Det lønner seg med andre ord for organisasjoner å inkludere dette i kravspesifikasjonen og be leverandører spesifisere hvordan de jobber med brukerne for å øke sikkerheten. Ellers kan dette helt avgjørende aspektet bli utelatt i de tilbudene dere får. Selv om organisasjonen selv jobber med disse spørsmålene, har ofte leverandørene kompetanse og innspill som kan komplettere virksomhetens eget arbeid.

 

4. Dra nytte av leverandørenes samlede ekspertise

Innenfor rammene av offentlige anbud er det gode muligheter for å føre dialog med leverandører før anbudsprosessen starter, så lenge det skjer i samsvar med lov og forskrift om offentlige anskaffelser. Marcus Mollison, Senior Bid Manager i Iver, mener at dette er viktig for å lykkes med anbudsprosessen:

– Organisasjoner i offentlig sektor har mulighet til å inkludere leverandørene i prosessen og gjennomføre høringer før anbudsprosessen starter. Denne dialogen er nyttig både for deres egen behovsanalyse og for å forstå markedet og de ulike løsningene som tilbys. Selv om slik dialog før anbudsprosessen koster både tid og penger, lønner det seg – for en dårlig leveranse, som blir resultatet av en dårlig håndtert anbudsprosess, kan bli enda dyrere.

Helena Ankar utdyper:

– Organisasjoner har alt å vinne på å be leverandørene om hjelp i arbeidet med anskaffelser av sikkerhetstjenester. Vi leverer daglig sikkerhetstjenester til kundene våre og har egne sikkerhetsteam på ulike nivåer som kan tilby hjelp og veiledning. Det som ofte gir best resultat er om kunden selv gjør hjemmeleksen sin når det gjelder sikkerhet, og i tillegg er åpen for leverandørens forslag og kompetanse. På den måten kan man sammen komme frem til riktig nivå i kravspesifikasjonen for sikkerhet.

 

5. Lag et tydelig og gjennomarbeidet anbudsgrunnlag

I tillegg til å sikre at kravspesifikasjonen dekker riktige ting, må dere også gjøre en grundig jobb med anbudsgrunnlaget og formulere det på en strukturert og tydelig måte.

– Tydelige spørsmål fører til tydelige svar. Ved å sikre at spørsmålene er formulert på en strukturert måte, hever dere nivået på svarene dere får fra leverandørene. Med en tydelig struktur blir det også lettere å forstå hva tilbudet dekker, og å sammenligne tilbud fra ulike leverandører, sier Helena Ankar.

 

6. Planlegg anbudet i god tid for å unngå tidspress

Offentlige anskaffelser tar tid. Husk derfor å planlegge og være ute i god tid for ikke å havne i tidsnød. Selv om dette er noe vi alle vet, ender vi av ulike grunner likevel ofte opp med tidspress.

– Anbudsprosessen kan iblant trekke ut i tid, og i enkelte anskaffelser er det tidspress helt fra starten av. Ofte handler det om at en avtale med en tidligere leverandør går ut, og at man derfor har kort tid på seg til å gjennomføre anbudsprosessen. Denne formen for tidspress bør dere prøve å unngå, siden det kan påvirke resultatet negativt. Dere må også sette av tid til implementering før den gamle avtalen utløper.

Samtidig er det viktig at anbudet er gjennomarbeidet fra starten av, slik at dere unngår å endre altfor mye underveis i prosessen. For hvis korrigeringene er for store, kan det føre til en krevende klageprosess og i verste fall en forfeilet konkurranse.

– Jo mer tid dere bruker på anbudsprosessen, og jo mer dialog dere legger opp til gjennom hele prosessen, desto bedre resultat og leveranse kan dere forvente, avslutter Marcus Mollison.

Relatert innhold

Artikkel
Cyberangrep – de 4 vanligste cybertruslene i 2022
arrow_forward
Artikkel
Ny dataoverføringsavtale mellom EU og USA? – dette bør du vite
arrow_forward
Artikkel
Zero Trust – slik beskytter du organisasjonen bedre mot cyberangrep
arrow_forward

Relatert innhold

Artikkel
SOC - alt du trenger å vite om Security Operations Center
arrow_forward
Artikkel
Hvordan effektivisere interne prosesser ved bruk av Generativ AI?
arrow_forward
Artikkel
10 sikkerhetstiltak for å øke robusthet i ditt IT-miljø
arrow_forward
translate
Informasjonskapsler Om personopplysninger
©2021 Iver AB. All rights reserved.