Terceirização de Segurança PDF Imprimir E-mail
Avaliação do Usuário: / 0
PiorMelhor 
Escrito por cristhian   
Sáb, 22 de Outubro de 2011 01:40

Terceirização de Segurança

Segurança da Informação não é especialidade da indústria de manufatura, como também não faz parte dos negócios do setor automobilístico, de empresas alimentícias ou do varejo. No entanto, para que possam manter o core business de suas operações, a segurança, cada vez mais se torna fator crítico para as corporações e suas transações.

Não é por acaso que os institutos de pesquisa têm indicado crescimento nos orçamentos de tecnologia da informação (TI) no que se refere à segurança. Em alguns casos, a verba dessa área é totalmente independente do que é gasto com TI.

Mas o que se nota é que, conforme a segurança ganha espaço entre outras prioridades das organizações, ela passa a ter valor estratégico, isto é, participa das decisões de mercado, integração com a cadeia de valor, formas de oferta de produtos e serviços etc. Assim, é natural que, em um mesmo grau de complexidade que as transações eletrônicas, a Segurança da Informação demanda diversas aplicações e camadas tanto no que se refere à infra-estrutura tecnológica (hardware e software), como também na prestação de serviços e recursos humanos. Frente ao desafio, a terceirização - como nas demais áreas de TI - tem sido um dos caminhos procurados pelas organizações. Como na maioria dos casos, essa tanto pode ser uma ótima como uma péssima opção. O que definirá cada experiência está relacionado a uma série de processos préestabelecidos.


Como terceirizar

Não há regra geral que se aplique a tudo e todos. Atualmente, algumas corporações terceirizaram toda sua infra-estrutura de segurança, desde pessoal até backup de transações, filtragem etc., e estão plenamente satisfeitas com isso. Em outros casos, a empresa opta por fazer um trabalho parcial, tirando de sua responsabilidade, por exemplo, os serviços de contingência, com duplicação de operações por meio de um data center.

Independentemente dos caminhos escolhidos para trilhar, o que a maior parte dos especialistas orienta, ao decidir partir para um processo de outsourcing é não tirar a "inteligência" de dentro de casa. Ou seja, deve ser terceirizado apenas o que é operacional, pois é o que gera investimentos pesados em infra-estrutura, hardware, licenças de software etc.

Em suma, cada corporação, representada por sua equipe de tecnologia e demais diretorias, deve avaliar em detalhes os benefícios e riscos de decidir pela terceirização, gerando assim, um Planejamento de Outsourcing de Segurança. Esse relatório deverá contemplar desde os recursos de TI necessários, bem como a mão-de-obra envolvida, os processos de migração, atendimento a clientes e parceiros, suporte, resposta a incidentes etc.

Será esse material - baseado em preço, prazos e processos de implementação - o que definirá se a terceirização da Segurança da Informação terá ou não sucesso. De outra forma, está será encarada apenas como mais uma maneira de burocratizar os serviços, consumir investimentos e não adicionar qualquer valor às transações da organização.


O que terceirizar

Salvo exceções, algumas áreas de segurança são passíveis de terceirização como suporte, monitoramento, gerenciamento e contingência. Os SOCs (Security Operation Center) disponíveis são especializados na prestação de serviços dessa natureza, entre outros. Esses centros de segurança e gerenciamento de dados estão atraindo o interesse das empresas por uma série de razões como, por exemplo, menor custo com equipe interna, investimentos divididos com outras companhias, respostas rápidas a incidentes e qualidade de serviço estabelecida em contratos, os chamados Service Level Agreements (SLAs).

Mas mesmo com vantagens competitivas tangíveis e de retorno rápido, a terceirização de segurança tem como barreira central a questão cultural das corporações. Invariavelmente, esse é o principal desafio a ser vencido, já que exige uma relação de total confiança entre os parceiros. Essa responsabilidade tem de estar esboçada em detalhes no contrato de SLA. Um programa que garanta 100% de atividade ao longo de um ano levanta suspeitas. Basta verificar o volume de incidentes de segurança que ocorrem diariamente com empresas altamente protegidas, como as do setor financeiro.

Além do nível de serviço oferecido pelo fornecedor, vale ressaltar o compromisso deste em ter uma postura pró-ativa com o usuário, ou seja, na medida do possível manter os níveis de segurança os mais preparados possíveis. Esse contrato estabelece como serão atendidas as necessidades futuras do contratante e quais multas e penalidades no caso de não-cumprimento ou rompimento do acordo.

Em tese, tudo é passível de ser terceirizado. Mas na realidade, o processo não é tão simples e imediato como se imagina. Portanto, o ideal é que a empresa tenha conhecimento sobre seus próprios custos e infra-estrutura, algo que muitas vezes não está organizado ou quantificado.

Na prática, o outsourcing deve retirar da empresa tarefas repetitivas e burocráticas, que não demandam ou envolvam decisões complexas ou estratégicas. Estudos apontam que, atualmente, esses serviços são responsáveis por algo entre 5% e 10% dos orçamentos de TI.

Também é preciso avaliar a utilização e a disponibilidade de bens que não se limitam à infra-estrutura tecnológica. Em grandes corporações, já ocorreu de a empresa contratante perder profissionais estratégicos, os quais passaram a atender a organização via outsourcing.


Fontes consultadas:

IDC

Gartner

Delloitte

Bibliografia recomendada:

Terceirização: uma abordagem estratégica

Livio Antônio Giosa
 

Adicionar comentário


Código de segurança
Atualizar