Segurança terceirizada não faz milagres, alerta consultoria

[RafaelSonyLock 18]

Economia em hardware e atualizações é argumento de fornecedores como IBM ISS e Cisco, mas terceirização exige estratégia interna, diz PricewaterhouseCoopers.

Cibercrime organizado, mobilidade, redes sociais, questões regulatórias, vazamentos de dados e crise econômica abriram os olhos dos executivos para a segurança da informação e atraíram grandes empresas de tecnologia para a oferta de serviços gerenciados neste segmento. Em 2010, empresas como IBM ISS e Cisco consolidam serviços para vigiar o patrimônio digital das corporações. O principal argumento é a redução de custos.

 

O gerenciamento de segurança é uma das principais apostas da divisão Internet Security Systems - empresa adquirida em outubro de 2006 pela IBM. "As empresas estão percebendo que administrar a segurança é algo complexo, que não faz parte de seu negócio principal", afirma o vice-presidente da IBM ISS, Dan Powers.

 

O executivo da IBM estima que uma empresa consiga reduzir, em média, 55% de seus gastos anuais terceirizando áreas como aquisição de equipamentos e software, atualizações e administração da infraestrutura de segurança.

 

Para os fornecedores, a terceirização de segurança deve representar 70 bilhões de dólares, globalmente, em 2011, segundo a consultoria IDC. Na América Latina, este setor tem apresentado um crescimento médio anual de 14%, alcançando um faturamento de 194,8 milhões de dólares em 2010 e de 225,7 milhões de dólares em 2011.

 

Atenta a este potencial de mercado, em janeiro de 2010, a Cisco inicia a oferta de seu Response Operation Services (ROS), no Brasil, em parceria com integradores e operadoras. “A ideia é aproveitarmos as soluções de segurança que temos dentro de nossos roteadores, switches e firewalls em conjunto com serviços gerenciados na nuvem”, explica o gerente de desenvolvimento de negócios da Cisco, Ghassan Dreibi.

 

O novo serviço destina-se tanto a corporações, que precisam gerenciar a segurança de ambientes distribuídos (pequenas agências bancárias, por exemplo) a pequenas e médias empresas que não possuem orçamentos dedicados a segurança.

 

“Se o cliente tem de renovar sua estrutura a cada ameaça, vai gastar muito dinheiro”, observa Dreibi. “Com o serviço, nós vamos evoluindo conforme as ameaças evoluem”, explica. O ROS se baseia em tecnologias de empresas incorporadas pela Cisco, como IronPort e ScanSafe.

 

Modelo híbrido

A preocupação com segurança valorizou a posição de executivos especializados como os Chief Security Officers (CSOs) e os Chief Information Security Officers (CISOs), informa o estudo Global Information Security, conduzido pela consultoria PricewaterhouseCoopers, em parceria com as revistas CIO e CSO.

 

Entre os 692 executivos brasileiros que responderam ao estudo, 43% disseram que a nomeação de um CSO representa uma prioridade para os próximos meses.

 

A informação poderia ser uma má notícia para os fornecedores, mas indica que o caminho das empresas tende a ser híbrido: terceirizar a segurança operacional e manter a questão estratégica (política de riscos e alinhamento da segurança aos negócios), avalia o gerente de IT Security da PricewaterhouseCoopers, Ricardo Dastis.

 

“Existe sim uma tendência de terceirizar pontos mais operacionais como monitoramento, sistemas de prevenção de instrusos (IPS, na sigla em inglês) – que carrega o ônus de uma estrutura 24/7 -, correções, regras de firewall, controle de identidades, perfis de acesso etc.” afirma Dastis.

 

O consultor alerta que, mesmo ao entregar os serviços de segurança a outro fornecedor, a empresa precisa fazer um planejamento adequado do que deseja monitorar. “Se você não definiu o processo (...) vai só terceirizar o problema”, alerta Dastis.

 

Fechadura barata

Diante do valor de suas informações, as empresas ainda investem muito pouco em segurança, avalia Powers, da IBM. "O orçamento desta área representa de 10% a 12% dos gastos com Tecnologia da Informação e apenas 20% são dedicados a educação dos funcionários, governança e políticas claras de segurança", alerta o executivo.

 

"A tecnologia está lá para fazer isso, mas muitas empresas não a usam porque área de TI está setorizada", analisa Dan Powers. "O ideal é envolver todas as áreas na questão de segurança e ter uma parte do investimento de cada uma", aconselha.

 

Fonte: http://computerworld.uol.com.br/seguranca/2009/12/09/seguranca-terceirizada-nao-faz-milagres-alerta-consultoria/