InfoSec Council

  • Aumentar tamanho da fonte
  • Tamanho da fonte padrão
  • Diminuir tamanho da fonte
Home Aspectos organizacioonais PESI Provedores externos

PESI Provedores externos

Sáb, 22 de Maio de 2010 22:53 Álvaro Teófilo
Imprimir

Planejamento Estratégico da Segurança da Informação

Capítulo 6 - Provedores Externos 

Álvaro Teófilo

Neste capítulo, trataremos dos desafios de uma organização ao contratar serviços externos. Veremos também os desafios que estes terceiros representam no cotidiano da gestão de segurança, tanto no cumprimento de seus prazos SLA´s (Service Level Agreement) quanto na conformidade dos mesmos com a política vigente em sua organização.

1. Introdução

É cada vez maior o número de organizações que tomam a decisão de terceirizar parte de suas operações. Muitos iniciaram este campo contratando parceiros para execução de serviços de tecnologia e de operações muito específicas (como os call centers) a outras empresas de grande e médio porte, para que estas fizessem pela organização o que até então era responsabilidade de seus próprios funcionários.

A principal razão da terceirização é, sem dúvida, a redução de custos diretos e indiretos que um determinado serviço gera para uma organização. Agregado a isso, a especialização de algumas empresas em executar determinadas funções com maior conhecimento atrai muitos gestores, que precisam de um serviço de qualidade, mais livre para se alinhar ao negócio da organização e oferecer novos serviços a ela. No entanto, se torna mais usual que operações de backoffice e até mesmo serviços que são considerados core business, ou seja, a “alma do negócio” das organizações, sejam transferidas para um parceiro de negócios. Apesar de forma ainda tímida, já existem várias iniciativas que indicam que as organizações, procurando ganhar eficiência e que irão claramente para um caminho sem volta de terceirizar parte de suas operações mais críticas, trazendo à discussão a necessidade de entendermos e endereçarmos os impactos destas decisões sob o ponto de vista de riscos.

Terceirizar serviços necessários, mas que não sejam o core business da organização e que possuem um alto custo administrativo, como um call center, pode ter um excelente retorno. Ao terceirizar uma operação importante para o negócio, o parceiro selecionado precisa ter reputação e porte para assumir os problemas operacionais desta função.

 

2. Gestão de parceiros de negócios

Independente do grau de profundidade que a terceirização de operações já atingiu em uma organização, alguém deve assumir, dentro de cada corporação, o papel de orientar homens de negócios e de tecnologia a respeito de quais preocupações devem ser endereçadas no momento em que uma externalização de operações é feita. Obviamente, é necessário que a organização compreenda a importância desta decisão e as conseqüências que a falta de uma avaliação e gestão de riscos operacionais pode trazer para ela. Com esta questão reconhecida, cada organização deve definir quem fará o papel de gestão de riscos em operações terceirizadas. Normalmente, temos visto a própria área de segurança da informação como a líder da gestão de parceiros em grandes organizações.

Neste sentido, é importante se observar algumas questões:

a) A terceirização deve ter um gestor, responsável por acompanhar as métricas e fazer com que os SLA´s sejam cumpridos.

b) O apoio jurídico é importantíssimo na hora de se estabelecer os SLA´s e as penalidades pelo seu não-cumprimento.

c) Não subestime o impacto que uma má contratação pode ocasionar em sua operação. A responsabilidade continua sendo do gestor; e, para os clientes, os problemas são sempre da sua organização.

3. Quem, quando e o que avaliar

Uma das perguntas mais comuns no mercado a respeito da questão da terceirização é: por onde começar a gestão? Antes de tudo, tenha em mente que existem dois mundos que precisam ser trabalhados paralelamente: a) a gestão de serviços e operações que já estão terceirizadas; e b) a gestão de novas terceirizações.

A gestão de riscos de serviços já contratados deve ser iniciada a partir de um levantamento completo de todos os serviços prestados fora de sua organização. Algumas outras áreas internas poderão ajudar na sua pesquisa, especialmente as áreas de gestão de contratos, jurídico, compras e até mesmo tecnologia. Você terá de definir uma pessoa ou equipe que terá a responsabilidade, dentro de sua área, de executar esta tarefa em tempo integral.

Separar estas operações por nível de criticidade para os negócios envolve um esforço razoável e, neste sentido, encontramos duas variáveis que conseguem dar peso a elas e nos ajudam a determinar a priorização das avaliações:

a) Quanto maior o nível de dependência da operação externalizada para a sua organização, maior deve ser a prioridade dada à sua gestão de riscos. É importante deixar claro que a “dependência” aqui está relacionada à importância que a operação traz para a organização e, obviamente, de que forma a falha da entrega de seus serviços pode impactar seus negócios.

b) O armazenamento de informações de clientes deve ser visto como um fator crítico na avaliação de parceiros. A possibilidade de vazamento de uma base de dados ou um incidente envolvendo a divulgação de informações de clientes pode levar a organização contratante a uma séria exposição de imagem, cujas consequências são sempre difíceis de serem medidas.

Avalie o grau de dependência da operação terceirizada e a sensibilidade das informações confiadas a terceiros.

4. Avaliando e monitorando o risco

O primeiro passo deste trabalho deve ser feito junto ao jurídico da organização. A existência de cláusulas de responsabilidade, privacidade e segurança devem ser avaliadas contrato por contrato, o que gera um esforço razoável para advogados e gestores. Deve-se também incluir no aditamento uma cláusula de acordo onde a empresa se compromete a adotar todas as políticas e medidas de segurança que a contratante exigir, bem como aceitar a existência de auditorias periódicas que avaliarão seu nível de adaptação a estas políticas. Estas cláusulas também devem ser utilizadas nos novos contratos que a organização assinar no futuro.

A existência das cláusulas não deve ser considerada como uma premissa para o início do trabalho de avaliação, mas as experiências das organizações encaram esta questão de uma forma bastante conservadora. Se há, por exemplo, uma boa relação entre contratante e contratado, é muito provável que a avaliação de riscos possa ser feita antes do aditamento.

Com a lista de operações críticas em mãos e com a questão contratual endereçada, é hora de definir qual será o nível e a profundidade das avaliações de risco. Neste momento, a organização deverá construir questionários que incluam todas as disciplinas de segurança que desejam ser avaliadas, como a existência de políticas de segurança, a gestão de segurança de redes, atendimento às legislações e compliance, entre outros.

Uma boa ferramenta encontra-se livre na Internet e pode ser utilizada por qualquer indivíduo que tenha interesse em utilizá-la. Construída pelo BitsInfo, o processo chamado Financial Institution Shared Assessment Program produziu uma planilha que cobre com bastante extensão as principais ações e processos de gestão e controle de riscos de segurança em ambientes físicos e lógicos. A planilha encontra-se no próprio site da instituição, em www.bitsinfo.org.

5. Implantando o processo

Com os questionários desenvolvidos e definidos, deve-se construir um processo com diversas fases que indiquem o começo, meio e fim do processo, incluindo, pelo menos, dez pontos:

1) O envio de uma carta ao provedor de serviços, informando a existência do processo de avaliação de riscos e solicitando o seu acordo, bem como a determinação de um nome de gerente ou diretor responsável pelo atendimento da demanda;

2) A definição do escopo de trabalho baseado na realidade de cada operação;

3) A definição de cronograma de trabalho entre as partes;

4) O envio e devolução dos questionários aos responsáveis na empresa parceira;

5) A visita ao site para testes dos controles declarados pelo provedor;

6) A geração de relatório draft que indique os primeiros resultados do trabalho, que deve ser usado como base para uma discussão com o parceiro;

7) A emissão de relatório final, informando o nível de aderência do parceiro às práticas exigidas pela organização;

8) A determinação de plano de ação de melhorias, se for necessário, bem como a obtenção do comprometimento da empresa parceira declarada

9) O acompanhamento da aplicação dos pontos pendentes de acordo com os prazos estabelecidos entre as partes;

10) A reavaliação periódica (a cada ano, por exemplo) do processo, passando por todas as fases anteriores.

Observe que este processo pode também ser aplicado para a segunda “dimensão” de trabalho que destacamos neste documento. A contratação de novas operações terceirizadas pode utilizar os mesmos passos para ajudar às áreas de negócios a avaliar empresas que estão concorrendo em um novo contrato. Temos vivido experiências bastante positivas em relação a este tema, percebendo que, uma vez apoiados desde o primeiro momento em que tomam a decisão de externalizar uma operação, homens de negócios utilizam nossas avaliações como um dos principais fatores de decisão sobre qual empresa contratar.

Neste momento, também tivemos a ideia clara de que a gestão de riscos em operações terceirizadas é muitas vezes ignorada pela simples falta de conhecimento e experiência dos gestores de negócios. É uma questão cultural que nós, gestores de segurança da informação, podemos trabalhar na empresa e que geramos resultados excelentes na relação entre segurança e negócios. Neste caso, estreitamos relacionamentos, geramos valor agregado para os negócios e temos muito mais claramente uma foto de onde estão os riscos associados a este tipo de operação.

Finalmente, com a tendência clara demonstrada pelo mercado de que a terceirização continuará sendo utilizada como um fator de ganho e eficiência, qualidade e redutor de custos, é imperativo que um processo muito bem definido garanta que a gestão de riscos operacionais e de segurança faça parte das avaliações de novas parcerias.

* - Este artigo é parte do documento Planejamento Estratégico da Segurança da Informação, publicado pelo Infosec, e sua integra pode ser lida em Publicações.

 

Principal

Membros do InfoSec

Apoio

  • An Image Slideshow
  • An Image Slideshow

Entidades

  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow

Em cartaz

Slideshow Image 1
Slideshow Image 2
Slideshow Image 3
Slideshow Image 4

Veja

Slideshow Image 1
Slideshow Image 2

Artigos Recentes:

NewsFlash:

 
 

 
 
 
 
 
 
 
 
  • O índice de notícias apresenta links sobre segurança da informação, direito eletrônico, forense computacional e muito mais.