Quais controles críticos de segurança podem ser terceirizados e como as empresas, em especial as Small Enterprise, podem manter a confiança de que sua operação está sendo bem gerenciada?

Hoje as empresas enfrentam um ambiente cada vez mais desafiador. Fatores como o cibercrime, o crescimento dos dados que precisam se seguramente gerenciados e legislações como GDPR, LGPD, Bacen e outras contribuem para um crescimento significativo do risco a que as empresas estão submetidas.

Como resultado desse cenário, a Segurança passou a ser vista pelo board executivo como parte essencial da operação da empresa, não apenas mais como um luxo. Apesar dessa elevação do status da segurança, esse continua sendo um problema para as empresas. Grande parte desse problema ocorre porque uma boa operação de segurança requer conhecimento e técnicas que não fazem parte do núcleo dos negócios da empresa.

 

Os Argumentos pelo Serviço Gerenciado de Segurança – MSS

A necessidade de fazer mais com menos recursos leva a um importante questionamento: até onde a abordagem do faça-você-mesmo é viável em uma estratégia de longo prazo? Muitas empresas hoje, pequenas ou grandes enterprises, já concluíram que a melhor alternativa é terceirizar a operação de segurança.

Além de tornar os custos com a operação mais preditivos e controlados, uma abordagem de terceirização tem o potencial de oferecer às empresas melhores soluções técnicas. Para quem ainda possui baixa maturidade de segurança, o MSS pode oferecer técnicas e soluções que de outra forma estariam fora do orçamento disponível para Segurança. Isso é embasado por uma equipe dedicada e especializada, que vai rapidamente diminuir o gap que as enterprises possuem para enfrentar o risco crescente.

Em termos de de controles mais efetivos para as small enterprises terceirizarem, isso vai depender do que é considerado como alto risco para o negócio. Pode ser qualquer coisa desde segregação básica de permissionamento até automação de segurança e analytics avançado (gestão de um SIEM, por exemplo).

Contudo, decidir partir para uma terceirização é apenas o primeiro passo. Para garantir que tenham benefícios reais, é importante que as empresas, independente do tamanho, tenham clareza sobre como vão lidar com esse tipo de serviço.

Um ponto chave é lembrar que é a operação, não a responsabilidade, que está sendo terceirizada. Isso requer que os mecanismos certos estejam em curso, do início ao fim do projeto.

Também é preciso que exista uma compreensão clara entre a empresa cliente e a prestadora de MSS (MSP) sobre os papéis e responsabilidades, entendimento refletido nos contratos, para que não exista ambiguidade.

 

Comunicação e SLAs realistas

As SLAs devem ser práticas e alinhadas aos objetivos de negócio. Elas podem incluir disponibilidade dos serviços, tempos de resposta para abertura de tickets ou tempo de resolução para questões pré-determinadas.

Contudo, elas também devem ser realistas. Por exemplo, muitos tickets acabam dependendo de respostas dos fabricantes de soluções, o que foge ao controle das MSPs. Portanto, SLAs também devem incluir mecanismos de relatórios periódicos de controle e resolução de disputas.

A terceirização, assim como a maior parte dos processos de negócio, se beneficia de inputs humanos para prover insight e contexto, o que possibilita às empresas observarem valor no contrato de Serviço Gerenciado. Isso requer que os fóruns corretos estejam em curso, como, por exemplo, reuniões mensais para apresentação de relatório executivo. Essas reuniões podem verificar se as SLAs foram definidas corretamente no início do projeto.

No papel, a MSP pode estar em falta com algumas SLAs, mas essas reuniões cara-a-cara ajudam a trazer um entendimento sobre os motivos que estão levando ao atraso das SLAs e quais os ajustem podem ser necessários.

 

Consultoria é essencial

Small Enterprises constantemente enfrentam situações onde tudo se torna uma prioridade, como relação com clientes, TI, RH e Marketing. Portanto, faz mais sentido contar com uma consultoria de Segurança para auxiliar o board executivo a compreender o que é mais importante para a empresa, e para ganhar uma perspectiva externa sobre o que são as boas práticas de mercado. Apenas assim uma decisão informada pode ser tomada sobre um risco particular é crítico ou não para o negócio e pode se beneficiar de controles adicionais. Dessa forma, a MSP atua como uma consultora de gestão e parceiro de confiança para auxiliar na estratégia de segurança.

Algumas small enterprises chegam a terceirizar todo o processo de segurança, isso acaba exigindo que a empresa esteja confortável em ceder boa parte do controle sobre a operação, tornando ainda mais importante que as devidas diligências sobre o provedor sejam realizadas, tanto em termos técnicos quanto na cultura e políticas do provedor.

Concluindo, optar por uma abordagem de terceirização da operação de segurança oferece às empresas, em especial às small enterprises, as tecnologias e soluções mais recentes, além de expertise relevante na área. Contudo, a responsabilidade da segurança continua sendo da empresa, de forma que esse é um tipo de serviço que deve seguir a linha da parceria, tendo a comunicação entre as partes um papel fundamental.