O mercado de serviços gerenciados de segurança (MSS – Managed Security Services) está ganhando cada vez mais espaço. Estudos do Gartner apontam que empresas líderes no emprego da tecnologia da informação estariam adquirindo mais de 40% da sua infraestrutura de TI como serviço. Em pesquisa realizada com 80 CIOs das 500 maiores empresas do Brasil, 15% já terceirizam serviços de segurança e 45% pretendem fazê-lo nos próximos 12 meses. Mas por que as corporações têm procurado players especializados para ajudá-las a gerenciar suas operações de segurança e o que as motiva a trilhar esse caminho? Para começar, o custo é um bom motivo, mas não é o único fator a ser levado em conta, nem deveria ser o primeiro da lista. Ao analisar se devem ou não colocar toda a sua segurança de TI para ser monitorada e administrada por terceiros, as empresas devem considerar os seguintes pontos:
1.Manter e reter os profissionais com o conhecimento adequado, além de caro, pode ser inviável;
2.Os prazos para implementar soluções de segurança são sempre curtos;
3.Mesmo com profissionais capacitados, dificilmente as empresas têm escala para implementar novas soluções de forma rápida e economicamente viável;
4.É mais fácil para profissionais das empresas especializadas, com contato permanente com múltiplas ameaças simultâneas em diversos ambientes, se manterem atualizados;
5.Para muitas corporações, é um bom atalho para obter a padronização dos procedimentos de segurança e atender requisitos regulatórios;
6.É um meio de obter garantias contratuais de que os requisitos de segurança serão cumpridos.
Mas MSS não é mágica e alguns riscos devem ser avaliados e gerenciados antes, durante e depois do processo de terceirização. É importante saber qual a capacidade do provedor para lidar com aspectos específicos da organização; confiar na capacidade da empresa contratada; manter sigilo das informações gerenciadas pelo serviço; manter equipes internas responsáveis pelo contrato e pelo seu resultado; e delinear uma estratégia para reverter a dependência do provedor caso ele saia do mercado ou não performe adequadamente.
Estes são alguns aspectos a serem observados, de uma lista que pode ser mais extensa, para reduzir os riscos de fracasso do processo de terceirização. Para facilitar o processo e garantir bons resultados, é fundamental que a organização inicie um projeto de terceirização da segurança com objetivos bem definidos e com um rigoroso critério de avaliação das empresas candidatas.
Marcus Morais é vice-presidente da Arcon
