Blog

8 motivos para terceirizar a segurança da informação

Written by NEC | 19/jan/2016 18:30:00

Segundo a pesquisa The Global State of Information Security, divulgada pela PwC, o número de incidentes detectados subiu para 42,8 milhões em 2014 – uma alta de 48% em relação ao ano anterior.  Esse crescimento está ocorrendo não só porque existem mais ameaças, mas também porque algumas empresas investiram e passaram a detectá-los melhor. Se por esse lado a análise é positiva, o mesmo não ocorre quando avaliamos que a soma dos prejuízos financeiros atribuídos a violações de segurança cresceu 34% em um ano.

Para proteger suas informações, e ao mesmo tempo manter o foco na geração de valor para seu negócio, cada vez mais empresas têm adotado a estratégia de terceirizar sua operação de segurança com provedores especializados, conhecidos como MSSPs (Managed Security Services Providers). Ao se conscientizarem que segurança é um assunto que exige profundo conhecimento, a adoção do modelo ainda é embasada por motivos como:

  1. Dificuldade em contratar e manter profissionais especializados em segurança da informação.

  2. As equipes internas são reduzidas, atuam em horário comercial e são multidisciplinares.

  3. As tecnologias a serem adquiridas são cada vez mais numerosas, extremamente complexas e requerem especialização para suportá-las (monitoração e gerenciamento).

  4. As organizações passam a contar com o conhecimento de um provedor dedicado ao assunto que atende diversos clientes (maior amostragem de ameaças), permitindo que possam antecipar estratégias e ações de proteção para seus ambientes.

  5. Enquanto as atividades das empresas costumam estar sujeitas ao horário de expediente comercial, o modelo de serviços gerenciados de segurança atua de forma ininterrupta 24x7.

  6. Os serviços contribuem diretamente para atender a regulamentações e padrões de segurança – SOX, PCI DSS e ISO 27001/27002 – assim como normas internas das organizações.

  7. Permite que a empresa concentre-se na gestão estratégica da empresa, enquanto o operacional fica com especialistas.

  8. Orçamentos limitados e falta de capacidade para desenvolver e manter toda infraestrutura dentro de casa.

Na essência, os motivos resumem-se a uma expectativa de que um MSSP realizará as atividades operacionais necessárias para a segurança do ambiente corporativo de forma menos custos e mais eficaz. Vale lembrar, no entanto, que a organização é responsável por gerenciar o risco do negócio, já que é quem melhor entende seus próprios desafios. A operação pode (e deve, pelos motivos descritos) ser terceirizada. A gestão do risco, não.