Não é razoável esperar que todos os problemas sejam resolvidos logo após a assinatura de um contrato de terceirização em segurança da informação. Alguns riscos devem ser avaliados e gerenciados antes, durante e depois do processo. Capacidade do provedor para lidar com aspectos específicos da organização, confiança na capacidade da contratada, manutenção do sigilo das informações gerenciadas pelo serviço, manutenção das equipes internas responsáveis pelo contrato e pelo seu resultado, delineamento de uma estratégia para reverter a dependência do provedor caso ele não performe adequadamente, são algumas questões a serem observadas para reduzir os riscos do processo de terceirização.
A preparação para o processo de terceirização em segurança da informação é fundamental para reduzir o risco de insucesso. Para facilitar as coisas é fundamental que a organização inicie esse processo com objetivos de segurança bem definidos e com um rigoroso critério de avaliação das empresas candidatas.
No caso de contratação de um MSSP – Managed Security Service Provider - alguns requisitos são obrigatórios! Dessa forma, não é aceitável avaliar fornecedores que não tenham, no mínimo, o seguinte:
1. Infraestrutura de alta disponibilidade e tolerante a falhas com, ao menos, dois SOC (Security Operation Center) operando 24 x 7 x 365. Cada um desses centros de operação deve ser capaz de lidar isoladamente com todos os clientes.
2. Equipes amplamente capacitadas em segurança e com profissionais certificados pelos fabricantes dos produtos utilizados para prestar os serviços em todos os turnos. Experiência da equipe e baixa rotatividade também são igualmente relevantes.
3. Processos e sistemas de gestão que atendam as melhores práticas de gestão de TI em geral e da segurança da informação em particular.
4. Capacidade de entregar relatórios frequentes, consistentes e úteis sobre todos os aspectos dos serviços contratados.
5. Portal do Cliente para abertura e acompanhamento em tempo real do tratamento de solicitações e incidentes.
6. Portfólio de soluções capaz de atender a todas as demandas atuais e futuras do cliente, evitando assim múltiplos relacionamentos com fornecedores do mesmo tipo.
7. Capacidade financeira para acompanhar as demandas da empresa contratante e garantir a continuidade dos negócios durante a expectativa de duração dos contratos.
Além disso, no contrato deve ser possível exprimir os objetivos de segurança em termos quantitativos e estes devem ser colocados em acordos de nível de serviço (Service Level Agreements - SLAs) que impliquem em multas para o provedor quando não atingidos.
De acordo com esses mesmos objetivos, devem ser estabelecidos critérios claros de seleção dos fornecedores de modo a não utilizar apenas o preço e características técnicas de produtos para escolher a melhor proposta.
Uma vez escolhido o fornecedor, as atenções devem se concentrar no processo de implantação de soluções e transferência de responsabilidades. Exigir e validar um processo detalhado de transferência pode economizar muito dinheiro e resguardar as reputações dos patrocinadores dos projetos.
Por último, mas não menos importante: planeje a saída do contrato com cuidado. Problemas acontecem e a melhor maneira de minimizá-los é assumir que eles podem ocorrer e planejar a solução com antecedência.
