Segundo a pesquisa The Global State of Information Security, divulgada pela PwC, o número de incidentes detectados subiu para 42,8 milhões em 2014 – uma alta de 48% em relação ao ano anterior. Esse crescimento está ocorrendo não só porque existem mais ameaças, mas também porque algumas empresas investiram e passaram a detectá-los melhor. Se por esse lado a análise é positiva, o mesmo não ocorre quando avaliamos que a soma dos prejuízos financeiros atribuídos a violações de segurança cresceu 34% em um ano.
Para proteger suas informações, e ao mesmo tempo manter o foco na geração de valor para seu negócio, cada vez mais empresas têm adotado a estratégia de terceirizar sua operação de segurança com provedores especializados, conhecidos como MSSPs (Managed Security Services Providers). Ao se conscientizarem que segurança é um assunto que exige profundo conhecimento, a adoção do modelo ainda é embasada por motivos como:
- Dificuldade em contratar e manter profissionais especializados em segurança da informação.
- As equipes internas são reduzidas, atuam em horário comercial e são multidisciplinares.
- As tecnologias a serem adquiridas são cada vez mais numerosas, extremamente complexas e requerem especialização para suportá-las (monitoração e gerenciamento).
- As organizações passam a contar com o conhecimento de um provedor dedicado ao assunto que atende diversos clientes (maior amostragem de ameaças), permitindo que possam antecipar estratégias e ações de proteção para seus ambientes.
- Enquanto as atividades das empresas costumam estar sujeitas ao horário de expediente comercial, o modelo de serviços gerenciados de segurança atua de forma ininterrupta 24x7.
- Os serviços contribuem diretamente para atender a regulamentações e padrões de segurança – SOX, PCI DSS e ISO 27001/27002 – assim como normas internas das organizações.
- Permite que a empresa concentre-se na gestão estratégica da empresa, enquanto o operacional fica com especialistas.
- Orçamentos limitados e falta de capacidade para desenvolver e manter toda infraestrutura dentro de casa.
Na essência, os motivos resumem-se a uma expectativa de que um MSSP realizará as atividades operacionais necessárias para a segurança do ambiente corporativo de forma menos custos e mais eficaz. Vale lembrar, no entanto, que a organização é responsável por gerenciar o risco do negócio, já que é quem melhor entende seus próprios desafios. A operação pode (e deve, pelos motivos descritos) ser terceirizada. A gestão do risco, não.
