Executivo fala sobre escolha do fornecedor de segurança

Embora este primeiro semestre tenha visto uma economia fria, algo estava bem quente no mercado de tecnologia: as cabeças dos gerentes de segurança. Às voltas com certos tipos de ameaças que estiveram adormecidas em 2008, os profissionais precisaram considerar questionamentos importantes: Como reagir as ameaças sem gastar mais? Dá para economizar com segurança de TI? Como aplicar com eficácia o orçamento disponível para segurança?

Por outro lado, de acordo com o Gartner, a média global aponta que os investimentos em segurança de TI cresceram 18% ano passado e devem ficar estáveis este ano. É complicado mexer no orçamento de segurança de TI, simplesmente porque não há como reduzir o escopo de determinados sistemas de segurança já implantados, e a implantação de novas ferramentas, muitas vezes, é questão de sobrevivência: há o risco de não adquirir determinada proteção (o medo do “e se?”) e a necessidade de atender à crescente demanda regulatória que recai sobre determinados setores. Com tudo isso em jogo espera-se que em 2009 – ainda de acordo com o Gartner – o quinhão da segurança passe de 5% para 9% do orçamento global de TI.

Agora tente se colocar no lugar do gestor de segurança de TI: provavelmente o único gestor da área que teve o orçamento mantido – na verdade aumentado em termos relativos – não pode dar-se ao luxo de ter sua rede corporativa parada por causa de um worm. Ou seja, não é à toa que sua cabeça esteja quente.

O ambiente de segurança de TI é realmente desafiador: ameaças cada vez mais potentes, velozes e sofisticadas, padrão de ataques migrando da simples indisponibilidade para o roubo de informações, aberturas das redes ao acesso remoto e aos dispositivos de computação móvel, descentralização dos acessos à Internet nas redes corporativas, virtualização em massa, adoção de sistemas “in the cloud” acessados de qualquer lugar do planeta… A tudo isso, soma-se o aumento da pressão regulatória sobre a gestão da informação.

Assim sendo, é de se esperar que o gestor de segurança sonhe com os rios de dinheiro necessários para fazer frente a essa avalanche de possíveis problemas e se pergunte: a terceirização da gestão da segurança é uma opção interessante? Claro! Se adotada no momento adequado e através de um processo bem estruturado, a terceirização pode ajudar a fazer – muito – mais com menos.

Tanto é assim que já é grande a procura das corporações pelos MSSPs (Managed Security Services Providers ou Provedores de serviços gerenciados de segurança). São empresas que implantam e operam soluções de segurança fornecidas como serviço e conseguem tirar o peso do responsável pela segurança nas empresas.

Por que adotar esse tipo de serviço?

Para começar, o custo é um bom motivo, mas não é o único e nem deveria ser o primeiro da lista. Deve-se pensar também que:

· Manter e reter os profissionais com o conhecimento adequado, além de caro, pode ser inviável;
· Os prazos para implementar soluções de segurança são sempre curtos;
· Mesmo com profissionais capacitados dificilmente as empresas têm escala para implementar novas soluções de forma rápida e economicamente viável;
· É mais fácil para profissionais das empresas especializadas, com contato permanente com múltiplas ameaças simultâneas em diversos ambientes, se manterem atualizados;
· Para muitas corporações é um bom atalho para obter a padronização dos procedimentos de segurança e atender aos requisitos regulatórios;
· É um meio de obter garantias contratuais de que os requisitos de segurança serão cumpridos.

Mas MSSP não faz mágica. Dessa forma, alguns riscos devem ser avaliados e gerenciados antes, durante e depois do processo de terceirização. A capacidade do provedor em lidar com aspectos específicos da organização, em manter sigilo das informações gerenciadas pelo serviço, manter equipes internas responsáveis pelo contrato e pelo seu resultado são algumas questões – de uma lista que pode ser bem extensa – a serem observadas no intuito de reduzir os riscos de fracasso do processo de terceirização. Além disso, a contratante deve delinear, antecipadamente, uma estratégia para reverter a dependência do provedor caso ele saia do mercado ou não performe adequadamente e ainda, estar plenamente disposta a confiar na capacidade do provedor de proteger seus dados adequadamente.

Portanto, para facilitar as coisas é fundamental que a organização inicie o processo de terceirização com os objetivos de segurança bem definidos e com um rigoroso critério de avaliação das empresas candidatas. Se não, é bem provável que a cabeça do gestor de segurança continue quente.

fonte: www.itweb.com.br

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *