Garimpando por aí encontrei essa matéria falando sobre terceirização de serviços para segurança de TI.
Cabeças podem rolar com essa história!
Segue a matéria:
Quando se trata de terceirizar funções de segurança, o ceticismo ainda toma conta de muitos usuários. É, no mínimo, controversa a idéia de delegar o controle da segurança da rede a uma empresa paga para manter o equipamento, monitorar ataques, fazer varreduras, coletar registros ou atualizar software de segurança para os funcionários.
Os gerentes de segurança estão divididos, argumentando que pode ser uma bênção ou uma maldição para a empresa. Os defensores da terceirização de segurança alegam que a equipe interna de TI fica livre das tarefas banais, podendo dedicar-se a questões mais estratégicas sem precisar de reforço.
Seus detratores temem que os riscos à segurança passem despercebidos porque o pessoal de fora obedecerá a um contrato mecanicamente, sem uma atenção mais criteriosa. A eficácia de custos também faz parte do debate, mas a questão central do controle é que desperta mais emoção.
Os adeptos vêem a terceirização de segurança como uma maneira de deslocar seus especialistas em segurança, que são poucos, para funções mais estratégicas, ao mesmo tempo garantindo a execução das tarefas cotidianas.
"Ou aumentamos nossa equipe interna de TI ou contamos com pessoal de serviços de terceirização de segurança", constata Andre Gold, responsável pelo gerenciamento de risco de TI na subsidiária norte-americana da ING, empresa global de serviços financeiros sediada na Holanda.
Segundo Gold, tarefas como gerenciamento de patch e vulnerabilidades ou suporte a antivírus estão consumindo um tempo que seria mais bem empregado em operações estratégicas de gerenciamento de risco para ajudar as empresas a cumprir metas de negócio online com parceiros e clientes, por exemplo.
"Eu preferiria que o pessoal da ING galgasse posições", revela Gold. Em abril, a companhia espera selecionar pelo menos um serviço de terceirização de segurança - talvez na Índia ou outro lugar qualquer - para grandes contratos plurianuais de gerenciamento remoto de segurança de dados e rede.
"Eu chamo de right-sourcing de segurança", define Gold. A ING já terceiriza parte da manutenção de TI e do desenvolvimento de aplicativos. Conseqüentemente, a idéia de terceirizar a segurança não foi um choque de cultura na companhia. Gold espera que esta solução seja eficaz em termos de custos comparada a contratar mais pessoal, mas não é a principal motivação.
Contudo, a terceirização de segurança ainda tende a gerar opiniões negativas.
"Em princípio, sou contra", afirma Jon Gossels, presidente da consultoria SystemExperts, que orienta corporações em estratégias de segurança, com foco em questões regulatórias.
[1] Comentário enviado por kalib em 11/04/2008 - 11:07h
Parabéns pelo artigo cara...
É complicado falar em segurança quando se deixa informações de sua empresa com terceiros...
Claro..existe toda uma política de trabalho, ética..etc...
Porém acredito que ambos os cenários devem conviver perfeitamente juntos.
Por exemplo??
Tenho um serviço de correio.. acho válido deixar a questão da segurança e estrutura de nosso serviço de correio com terceiros...
Seria um exemplo de segurança terceirizada..
Porém por outro lado..eu não deixaria nunca minhas mídias de backup da empresa com dados de clientes por exemplo ou mesmo de projetos internos...Nunca deixaria tais informações com terceiros....
Acho que deve haver um equilíbrio como forma de perder o mínimo de tempo possível com tarefas desnecessárias podendo assim focar sua visão e força/trabalho em algo que realmente necessita de uma atenção maior. ;]
[2] Comentário enviado por y2h4ck em 11/04/2008 - 11:42h
Nenhuma empresa está apta a cuidar de sua própria segurança totalmente, afinal ... sempre existe aquele famoso "jeitinho" para fazer alguma gambiarra e colocar algo pra funcionar. É extremamente necessário que haja uma auditoria externa para apontar melhorias e necessidades, mas isso não quer dizer que vc vai dar seus dados secretos da empresa a eles, mas sim, atuar em conjunto para uma melhoria da segurança.
[3] Comentário enviado por elgio em 11/04/2008 - 13:05h
Isto é muito, mas muito complicado!
É que sabe, eu não sei o que é pior, se os dados sigilosos ficarem nas mãos de uma empresa, que se for séria, fará de tudo para zelar pela sua imagem, ou se nas mãos de um funcionário talvez descontente!
Não pensem que todo administrador de rede que está na folha de pagamento é bonzinho! As vezes o perigo mora ao lado!
Tem muita, mas MUITA estória (e tantas outras que são segredo) de funcionário que ferrou a empresa porque soube que seria DEMITIDO!
Eu mesmo conheço uma de um que trocou todas as senhas de administrador de Windows e disse que só contaria se o acordo de recisão lhe fosse favorável!
[4] Comentário enviado por kalib em 11/04/2008 - 19:30h
É verdade...existe muito picareta na nossa área também..é claro...
A segurança deve ser bem estruturada e de forma sensata...
Não jogando pérolas aos porcos...
Um fato marcante é que na maioria dos casos de furtos de informações ou invasões em empresas....a culpa geralmente é interna..ou seja...de algum usuário insatisfeito ou mesmo mal informado com relação a segurança da informação..seja ela a nível técnico ou mesmo social.
Um grande vilão de todo administrador de redes é a boa e velha engenharia social... :/
fazer o que não é mesmo..
Não basta conhecer a linguagem das máquinas, mas também a linguagem dos seres humanos repletos de sentimentos variáveis...
um bom tópico para uma mesa redonda este, não?!
Quem diria que eu algum dia teria a sorte de poder trocar idéias sobre isso com nomes como elgio e y2h4ck.. hauhuha
grande honra para alguém que está começando a trilhar o caminho de segurança da informação.
[5] Comentário enviado por Gilmar_GNU/Slack em 12/04/2008 - 12:29h
Vou ser direto !
O problema dessas empresas em questão de tercerização é Redução de custos !
Mais e aquela coisa.
como o y2h4ck falou, nenhuma empresa está qualificada a ciudar da segurança de seus dados sigilosos.
E tem uma coisinha bem interessante que é realmente um fator importante. É o que o Kalib dise.
Existe muito picareta, mais eu prefiro chamar de Profissoinais incompetentes por ai , que não sabem realmente fazer um trabalho bem feito..
Outra coisa importante que eu preso , e muito !
O trabalho em equipe; que é algo muito importante ..
fabiobarby. Parabens pelo topico e que esse assunto realmente de ibope aqui no forum !
[6] Comentário enviado por Teixeira em 12/04/2008 - 20:18h
O que sempre me preocupou com referência a "terceirização" de mão-de-obra é exatamente a qualidade e a confiabilidade dos serviços prestados por terceiros.
Percebe-se isso no magistério, na conservação e limpeza, na panificação, na saúde, etc. onde há pessoas competentes nos cargos-chave mas onde quem realmente exerce as atividades contratadas é um pessoal de conhecimento empírico, que foi treinado especificamente para determinada função.
Uma empresa terceirizada - de qualquer ramo - pode perfeitamente exercer de forma genérica a função para a qual foi contratada, MAS isso requer uma supervisão constante por parte de empresa contratante.
Aí o impasse: QUEM vai exercer tal supervisão? Precisa ser alguém com conhecimento, experiência, e de confiança.
Dá para demitir o pessoal da segurança?
Sim, mas somente a "peãozada".
Funcionários-chave realmente competentes, em especial nessa área, devem trabalhar felizes.
E na maioria das vezes o corte na folha de pagamento não se traduz necessariamente em economia.
Na antiga fábrica de televisores norte-americana Emerson, onde todos os funcionários trabalhavam de forma quase exagerada, havia um departamento onde ficavam seis homens sem fazer nada, e brincando com móbiles que ficavam pendurados no teto.
Esses homens eram pagos para ter idéias, mas isso não acontecia com muita freqüência.
De repente, alguém naquela sala "dava um estalo" e inventava uma forma de economizar dois parafusos em cada televisor.
Pronto: o salário de todo o departamento estava justificado, e ainda sobrava bastante lucro para a empresa.
Portanto, o lucro ou a estabilidade de uma empresa nem sempre é visível ou podem ser mensurados através de números.
Existem certamente muitos outros fatores envolvidos.