Ana Silva, Territory Account Manager da Kaspersky Portugal em 2023-5-23
À medida que as organizações navegam num cenário de ciberameaças em constante evolução, enfrentam cada vez mais desafios tecnológicos e de competências internas
Ana Silva, Territory Account Manager da Kaspersky Portugal
É por isso que muitas empresas consideram a possibilidade de subcontratar determinadas funções de cibersegurança – das operações de segurança e gestão de vulnerabilidades, à formação e programas de sensibilização, passando pela deteção de ameaças e segurança de aplicações. Destaco, neste artigo, cinco razões que suportam a opção de subcontratar cibersegurança. Antes mesmo de passar aos critérios, é importante perceber que qualquer função que não seja a atividade principal da empresa pode ser externalizada para permitir que as equipas internas se concentrem nas verdadeiras prioridades. Mas não esquecer que o outsourcing deve, sempre, ser coerente com os objetivos e a estratégia de cada organização. O desempenho interno é ineficienteNormalmente, as grandes empresas avaliam frequentemente a eficácia dos seus serviços internos de segurança. Se a eficiência e a eficácia forem baixas, algumas das tarefas mais exigentes podem ser subcontratadas - uma equipa de peritos externos reforçará assim os conhecimentos e competências do pessoal interno e ajudará a aumentar o desempenho. Além disso, os especialistas externos são geralmente mais eficientes na gestão de tecnologias mais avançadas. Vale a pena chamar a atenção para uma falácia muito difundida: se uma empresa não sabe como realizar um determinado tipo de trabalho, este deve ser subcontratado. Não se deixe enganar por esta lógica - para avaliar devidamente os serviços externos a contratar, é imprescindível contar internamente com pelos menos algum nível básico de conhecimento em segurança da informação. O trabalho é menos dispendioso nas mãos de especialistas externosSe a realização de uma tarefa interna custar à empresa mais do que o seu outsourcing, vale a pena entregá-la a especialistas externos. O ponto importante a ter em conta é que a responsabilidade, ao contrário do trabalho, não pode ser externalizada: as funções de controlo devem ser sempre mantidas internamente. Mas os custos desse controlo têm de ser inferiores aos custos do trabalho em si – só dessa forma o outsourcing será proveitoso para a empresa. Existem vários fornecedores concorrentes capazes de realizar uma determinada tarefaA concorrência é um dos principais mecanismos para garantir a qualidade dos serviços. Se houver apenas um fornecedor no mercado local que possa desempenhar a tarefa, isso pode - em última análise - afetar a qualidade do serviço contratado. Uma solução de compromisso é encontrar um fornecedor internacional reconhecido com experiência global. Normalmente, estas empresas estão presentes no mercado há muito tempo e têm experiência em vários domínios. Isto torna-as especialistas mesmo em tarefas muito específicas. A empresa tem conhecimentos suficientes para avaliar o trabalho dos subcontratadosAo subcontratar um serviço de alta tecnologia, a qualificação da empresa não deve ser inferior à qualificação do fornecedor. Como já referi anteriormente, a empresa cliente precisa de possuir conhecimentos de cibersegurança para conseguir compreender e avaliar a qualidade dos serviços prestados em outsourcing. É claro que os SLA (Acordos de Nível de Serviço) e as métricas ajudam, mas uma empresa precisa, mesmo assim, de possuir competências e experiência para ser capaz de interpretá-los corretamente e planear ações de melhoria futuras. Para obter esta experiência, os especialistas em segurança de TI devem manter as suas competências atualizadas, respondendo a incidentes reais, porque tudo no mundo das TI muda de forma dinâmica. Isto significa que a equipa interna deve ter a oportunidade de participar na resposta a incidentes, na caça a ameaças e noutras atividades, mesmo que estas tarefas sejam subcontratadas, para poder controlar a eficácia e a eficiência do prestador de serviços. A empresa já possui processos formalizadosA formalização é um procedimento generalizado em que as ações dos funcionários são descritas por etapas e prazos, e tudo isto se reflete nas políticas internas. Ajuda a eliminar o potencial para o caos, tanto ao nível da empresa como de cada colaborador individualmente. Tenha cuidado ao fazer o outsourcing de processos informalizados, pois o tiro pode sair pela culatra. Para começar, o risco de erros aumenta neste caso, devido à falta de controlo sobre o fornecedor. Além disso, um resultado pode ser muito diferente da realidade, mesmo que todos os resultados tenham sido discutidos na fase de integração. Em suma, se o input de qualquer processo for uma confusão, o resultado também o será. Não espere que o prestador de serviços o resolva. Mas há mais…Como pudemos ver, são vários os argumentos que sustentam a atribuição de tarefas de segurança a empresas externas, do ponto de vista interno das organizações. Mas também há outros, que se prendem com aquilo que os service providers são capazes de oferecer. Ao serem mais do que simples fornecedores de produtos e serviços de segurança, estes especialistas são sobretudo consultores de segurança, oferecendo às empresas soluções ajustadas ao seu perfil e necessidades, quer em termos de funcionamento, quer de custos. As empresas não têm que se preocupar com a escassez de mão de obra especializada em cibersegurança, obtendo as soluções de que necessita de uma forma mais eficiente e rápida, e focando-se no que realmente interessa – o seu negócio. |