Terceirização de segurança gera dúvidas em profissionais de TI

A terceirização de segurança libera tecnologia das tarefas banais, mas nem todos os executivos estão dispostos a adotar o modelo de negócio.

[ Hits: 20.150 ]

Por: Fabio Barby em 11/04/2008


Dados e conceitos



Gossels admitiria terceirizar algumas "funções discretas", tais como monitoramento de registros ou teste de penetração. "Mas nunca vi uma terceirização em larga escala funcionar bem", alerta. "A segurança é capacitadora do negócio, e as decisões que você toma todo dia na sua infra-estrutura de TI impactam o negócio. Não vejo como isso possa ser feito via outsourcing". Esta parece ser a visão dominante.

Uma pesquisa da Computer Security Institute com 479 profissionais de segurança no ano passado perguntou que percentual das funções de segurança de computador tinham sido terceirizadas em suas organizações. Sessenta por cento dos entrevistados - em setores diversos como finanças, transporte, varejo, educação, telecomunicações e governo - responderam "nenhuma".

Apenas 5% terceirizaram mais de 60% das funções de segurança de computador, com 2% na faixa de 81% a 100%.

"Embora certamente exista mercado para a terceirização de algum tipo tarefa de segurança (um exemplo é o teste de segurança de aplicativos web de contato com o cliente), em que a natureza especializada do trabalho e a capacidade de segregar a tarefa para acesso a ativos corporativos essenciais tornam a terceirização mais atrativa, a demanda por um outsourcing desta espécie não parece estar crescendo, no geral", concluiu a pesquisa da CSI.

De acordo com a CSI, que realiza a pesquisa anual sobre segurança, os resultados relacionados à terceirização de segurança não mudaram nos três últimos anos em que a questão foi abordada.

Os céticos: Kate Mullin, gerente de segurança de sistemas de TI do Tampa International Airport, vê com ceticismo a terceirização de segurança.

O aeroporto terceirizou poucas funções, entre elas o backup de sistemas de TI. E, sob o contrato firmado, o aeroporto pode requisitar pessoal de suporte em caso de necessidade.

Mas, embora a gestão de um aeroporto seja uma atividade ininterrupta, é a equipe interna de engenharia que está a postos monitorando a segurança da rede e desempenhando outras funções porque "as decisões que tomamos são baseadas nos sistemas que utilizamos", observa Mullin. "Se houver um problema, temos que reagir a ele".

Há pouco tempo, o aeroporto comprou o sistema de monitoramento de registros e eventos de segurança LogRhythm para esta finalidade. Mullin não acredita que pessoal ou equipamento externo conseguiria oferecer a mesma eficácia de monitoramento de segurança e resposta. Mas sua cabeça está aberta a idéias.

"Se eu fizer alguma coisa, será co-sourcing", avisa. No modelo de co-sourcing, metade do tempo o monitoramento de segurança seria interno e a outra metade do tempo seria terceirizado.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Dados e conceitos
   3. Conclusão
Outros artigos deste autor

Apache2 + PHP5 + MySQL + PhpMyAdmin + Webmin de forma simples e objetiva

Conhecendo o eBox

Leitura recomendada

Vulnerabilidade em mais de 6 milhões de sites com flash

Vulnerabilidade e segurança no Linux

Filtragem de vírus com pop3 transparente: pop3vscan

Entendendo o ataque ARP spoofing + SSLStrip

Honeypot Kippo 0.8 - Instalação e utilização

  
Comentários
[1] Comentário enviado por kalib em 11/04/2008 - 11:07h

Parabéns pelo artigo cara...

É complicado falar em segurança quando se deixa informações de sua empresa com terceiros...
Claro..existe toda uma política de trabalho, ética..etc...
Porém acredito que ambos os cenários devem conviver perfeitamente juntos.

Por exemplo??

Tenho um serviço de correio.. acho válido deixar a questão da segurança e estrutura de nosso serviço de correio com terceiros...
Seria um exemplo de segurança terceirizada..

Porém por outro lado..eu não deixaria nunca minhas mídias de backup da empresa com dados de clientes por exemplo ou mesmo de projetos internos...Nunca deixaria tais informações com terceiros....

Acho que deve haver um equilíbrio como forma de perder o mínimo de tempo possível com tarefas desnecessárias podendo assim focar sua visão e força/trabalho em algo que realmente necessita de uma atenção maior. ;]

[2] Comentário enviado por y2h4ck em 11/04/2008 - 11:42h

Nenhuma empresa está apta a cuidar de sua própria segurança totalmente, afinal ... sempre existe aquele famoso "jeitinho" para fazer alguma gambiarra e colocar algo pra funcionar. É extremamente necessário que haja uma auditoria externa para apontar melhorias e necessidades, mas isso não quer dizer que vc vai dar seus dados secretos da empresa a eles, mas sim, atuar em conjunto para uma melhoria da segurança.

[3] Comentário enviado por elgio em 11/04/2008 - 13:05h

Isto é muito, mas muito complicado!

É que sabe, eu não sei o que é pior, se os dados sigilosos ficarem nas mãos de uma empresa, que se for séria, fará de tudo para zelar pela sua imagem, ou se nas mãos de um funcionário talvez descontente!

Não pensem que todo administrador de rede que está na folha de pagamento é bonzinho! As vezes o perigo mora ao lado!

Tem muita, mas MUITA estória (e tantas outras que são segredo) de funcionário que ferrou a empresa porque soube que seria DEMITIDO!

Eu mesmo conheço uma de um que trocou todas as senhas de administrador de Windows e disse que só contaria se o acordo de recisão lhe fosse favorável!

Então...

Sei lá!!

[4] Comentário enviado por kalib em 11/04/2008 - 19:30h

É verdade...existe muito picareta na nossa área também..é claro...
A segurança deve ser bem estruturada e de forma sensata...
Não jogando pérolas aos porcos...

Um fato marcante é que na maioria dos casos de furtos de informações ou invasões em empresas....a culpa geralmente é interna..ou seja...de algum usuário insatisfeito ou mesmo mal informado com relação a segurança da informação..seja ela a nível técnico ou mesmo social.

Um grande vilão de todo administrador de redes é a boa e velha engenharia social... :/

fazer o que não é mesmo..

Não basta conhecer a linguagem das máquinas, mas também a linguagem dos seres humanos repletos de sentimentos variáveis...

um bom tópico para uma mesa redonda este, não?!

Quem diria que eu algum dia teria a sorte de poder trocar idéias sobre isso com nomes como elgio e y2h4ck.. hauhuha

grande honra para alguém que está começando a trilhar o caminho de segurança da informação.

[]´s

[5] Comentário enviado por Gilmar_GNU/Slack em 12/04/2008 - 12:29h

Vou ser direto !
O problema dessas empresas em questão de tercerização é Redução de custos !

Mais e aquela coisa.
como o y2h4ck falou, nenhuma empresa está qualificada a ciudar da segurança de seus dados sigilosos.

E tem uma coisinha bem interessante que é realmente um fator importante. É o que o Kalib dise.
Existe muito picareta, mais eu prefiro chamar de Profissoinais incompetentes por ai , que não sabem realmente fazer um trabalho bem feito..

Outra coisa importante que eu preso , e muito !
O trabalho em equipe; que é algo muito importante ..

fabiobarby. Parabens pelo topico e que esse assunto realmente de ibope aqui no forum !

[6] Comentário enviado por Teixeira em 12/04/2008 - 20:18h

O que sempre me preocupou com referência a "terceirização" de mão-de-obra é exatamente a qualidade e a confiabilidade dos serviços prestados por terceiros.

Percebe-se isso no magistério, na conservação e limpeza, na panificação, na saúde, etc. onde há pessoas competentes nos cargos-chave mas onde quem realmente exerce as atividades contratadas é um pessoal de conhecimento empírico, que foi treinado especificamente para determinada função.

Uma empresa terceirizada - de qualquer ramo - pode perfeitamente exercer de forma genérica a função para a qual foi contratada, MAS isso requer uma supervisão constante por parte de empresa contratante.

Aí o impasse: QUEM vai exercer tal supervisão? Precisa ser alguém com conhecimento, experiência, e de confiança.

Dá para demitir o pessoal da segurança?
Sim, mas somente a "peãozada".
Funcionários-chave realmente competentes, em especial nessa área, devem trabalhar felizes.
E na maioria das vezes o corte na folha de pagamento não se traduz necessariamente em economia.

Na antiga fábrica de televisores norte-americana Emerson, onde todos os funcionários trabalhavam de forma quase exagerada, havia um departamento onde ficavam seis homens sem fazer nada, e brincando com móbiles que ficavam pendurados no teto.

Esses homens eram pagos para ter idéias, mas isso não acontecia com muita freqüência.

De repente, alguém naquela sala "dava um estalo" e inventava uma forma de economizar dois parafusos em cada televisor.

Pronto: o salário de todo o departamento estava justificado, e ainda sobrava bastante lucro para a empresa.

Portanto, o lucro ou a estabilidade de uma empresa nem sempre é visível ou podem ser mensurados através de números.

Existem certamente muitos outros fatores envolvidos.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts