Terceirização › A terceirização é uma forte tendência em todos os setores de TI, e não poderia ser diferente, quando falamos em Segurança da Informação. Trata-se de um assunto recorrente, isso porque a Segurança da Informação não é especialidade da indústria de manufatura, como também não faz parte dos negócios do setor automobilístico, de empresas alimentícias ou do varejo. No entanto, para que possam manter o core business de suas operações, essas corporações devem garantir a manutenção das condições ideais de segurança, que cada vez mais se torna fator crítico em todas as suas transações. Por isso, podemos nos preparar para ver as ações de proteção sendo executadas fora da corporação. No caso da segurança, a diferença é que a viabilidade do processo depende do tamanho das organizações. Grandes empresas têm pouca probabilidade em passar a segurança para o esquema outsourcing. Já as pequenas e médias empresas mostram-se mais abertas a essa opção, como podemos observar nas estruturas de ‘software as a service’, que vêm crescendo no mercado, tornando-se mais maduras. Muitos profissionais da área acreditam que a terceirização da Segurança da Informação é o caminho natural tanto para o mercado corporativo quanto para usuários domésticos. A integridade dos dados é um aspecto importante para usuários em todos os níveis. Entre outros benefícios, a terceirização dos processos de proteção à rede proporciona a redução no custo de manutenção dos dispositivos. Não é por acaso que os institutos de pesquisa têm indicado crescimento nos orçamentos de tecnologia da informação (TI) no que se refere à segurança. Em alguns casos, a verba dessa área é totalmente independente do que é gasto com TI. Porém, o outsourcing de segurança ainda está engatinhando no Brasil. Apesar disso, números da consultoria IDC indicam que a terceirização tende a ganhar espaço. O segmento de MSS – Managed Security Services é o que mais cresce no mundo na área de segurança. Previsão A previsão da consultoria é que o setor cresça em média 16% até 2010, sendo que a fatia de serviços tende a aumentar o seu percentual no bolo. Segundo dados da Frost & Sullivan, o mercado latino-americano de serviços gerenciados de segurança deve superar o total de US$ 272 milhões em 2011. De acordo com a consultoria, o Brasil continuará a concentrar 40% desse mercado. Em seguida vem o México, com 23%. Especialistas apontam que todos os negócios, grandes ou pequenos, possuem gaps em sua estrutura interna quando se trata de segurança. Ao tentar garantir que todas as áreas estejam seguras, algum segmento acaba sempre ficando descoberto, mais vulnerável a ameaças e intrusos. A solução para preencher esse gap seria enxergar a segurança como um serviço e transferir sua gestão a um especialista. Dessa forma, as organizações podem melhor direcionar seus profissionais e recursos. Além disso, todas as atenções ficam mais voltadas ao foco do negócio e resultados que devem ser obtidos. Para a Frost & Sullivan, as companhias estão se conscientizando dos benefícios da contratação de terceiros para o gerenciamento da segurança. A consultoria destaca que entre as vantagens do outsourcing desses serviços estão a redução de custos com mão-de-obra especializada e simplificação do investimento em equipamentos para proteção. O acesso contínuo a recursos atualizados e a possibilidade de se dedicar mais tempo ao negócio da empresa também são citados como benefícios diretos. O mercado brasileiro ainda passa por uma fase de maturação, mas em se tratando de segurança, nunca existe certeza absoluta do que está por vir. O que é bom e seguro hoje passa a ser vulnerável amanhã. Assim, é muito importante que todos tenham um bom parceiro para cuidar do assunto; alguém especializado, que estará sempre atualizado. E esta é a função, e a principal vantagem, das empresas que oferecem a segurança como serviço. Valor estratégico O que se nota é que, conforme a segurança ganha espaço entre outras prioridades das organizações, ela passa a ter valor estratégico, isto é, participa das decisões de mercado, integração com a cadeia de valor, formas de oferta de produtos e serviços etc. Assim, é natural que, em um mesmo grau de complexidade que as transações eletrônicas, a Segurança da Informação demande diversas aplicações e camadas tanto no que se refere à infraestrutura tecnológica (hardware e software), quanto na prestação de serviços e recursos humanos. Frente ao desafio, a terceirização tem sido um dos caminhos procurados pelas organizações. Como na maioria dos casos, essa tanto pode ser uma ótima como uma péssima opção. O que definirá cada experiência depende de uma série de processos preestabelecidos. Não há regra geral que se aplique a tudo e todos. Atualmente, algumas corporações terceirizaram toda sua infra-estrutura de segurança, desde pessoal até backup de transações, filtragem etc., e estão plenamente satisfeitas com isso. Em outros casos, a empresa opta por fazer um trabalho parcial, tirando de sua responsabilidade, por exemplo, os serviços de contingência, com duplicação de operações por meio de um datacenter. Independentemente dos caminhos escolhidos para trilhar, o que a maior parte dos especialistas orienta, ao decidir partir para um processo de outsourcing é não tirar a “inteligência” de dentro de casa. Ou seja, deve ser terceirizado apenas o que é operacional, pois é o que gera investimentos pesados em infra-estrutura, hardware, licenças de software etc. Em suma, cada corporação deve avaliar em detalhes os benefícios e riscos de decidir pela terceirização, gerando assim, um Planejamento de Outsourcing de Segurança. Esse relatório deverá contemplar desde os recursos de TI necessários, bem como a mão-de-obra envolvida, os processos de migração, atendimento a clientes e parceiros, suporte, resposta a incidentes etc. Será esse material – baseado em preço, prazos e processos de implementação – que definirá se a terceirização da Segurança da Informação terá ou não sucesso. De outra forma, está será encarada apenas como mais uma maneira de burocratizar os serviços, consumir investimentos e não adicionar qualquer valor às transações da organização. O que terceirizar Salvo exceções, algumas áreas de segurança são passíveis de terceirização como suporte, monitoramento, gerenciamento e contingência. Os SOCs (Security Operation Center) disponíveis são especializados na prestação de serviços dessa natureza, entre outros. Esses centros de segurança e gerenciamento de dados estão atraindo o interesse das empresas por uma série de razões como, por exemplo, menor custo com equipe interna, investimentos divididos com outras companhias, respostas rápidas a incidentes e qualidade de serviço estabelecida em contratos, os chamados Service Level Agreements (SLAs). Mas mesmo com vantagens competitivas tangíveis e de retorno rápido, a terceirização de segurança tem como barreira central a questão cultural das corporações. Invariavelmente, esse é o principal desafio a ser vencido, já que exige uma relação de total confiança entre os parceiros. Essa responsabilidade tem de estar esboçada em detalhes no contrato de SLA. Um programa que garanta 100% de atividade ao longo de um ano levanta suspeita. Basta verificar o volume de incidentes de segurança que ocorrem diariamente com empresas altamente protegidas, como as do setor financeiro. Além do nível de serviço oferecido pelo fornecedor, vale ressaltar o compromisso deste em ter uma postura pró-ativa com o usuário, ou seja, na medida do possível manter os níveis de segurança os mais preparados possíveis. Esse contrato estabelece como serão atendidas as necessidades futuras do contratante e quais multas e penalidades no caso de não-cumprimento ou rompimento do acordo. Não é tão simples Em tese, tudo é passível de ser terceirizado. Mas na realidade, o processo não é tão simples e imediato como se imagina. Portanto, o ideal é que a empresa tenha conhecimento sobre seus próprios custos e infra-estrutura, algo que muitas vezes não está organizado ou quantificado. Na prática, o outsourcing deve retirar da empresa tarefas repetitivas e burocráticas, que não demandam ou envolvam decisões complexas ou estratégicas. Estudos apontam que, atualmente, esses serviços são responsáveis por algo entre 5% e 10% dos orçamentos de TI. Também é preciso avaliar a utilização e a disponibilidade de bens que não se limitam à infra-estrutura tecnológica. Em grandes corporações, já ocorreu de a empresa contratante perder profissionais estratégicos, os quais passaram a atender a organização via outsourcing.
Posted on: Tue, 26 Nov 2013 00:00:15 +0000
Trending Topics
Recently Viewed Topics
© 2015