Implementação de soluções de segurança da informação em PMEs

Os prós e contras de diferentes abordagens para implantar e manter sistemas de segurança da informação.

Ao implantar e manter sistemas de segurança da informação corporativa, é lógico envolver profissionais no processo. Esses especialistas podem ser internos ou externos — provedores de serviços ou desenvolvedores da solução escolhida. Cada uma dessas abordagens tem seus prós e contras. Afinal, implantar um sistema de segurança da informação para uma empresa é um processo bastante complicado, que, além da instalação do software em si, inclui as seguintes fases preparatórias e operacionais:

  1. Análise dos riscos de segurança da informação – para identificar aspectos vulneráveis, avaliar a probabilidade de ameaças e compilar uma lista de medidas para mitigação
  2. Desenvolvimento de políticas de segurança para regular o acesso à informação e garantir proteção e integridade
  3. Seleção e implementação da solução
  4. Auditoria periódica da solução para garantir que ela seja eficaz e esteja em conformidade com os requisitos atuais
  5. Respostas a incidentes

Uma grande empresa terá um departamento de segurança da informação para lidar com essas tarefas. Mas as companhias de pequeno e médio porte enfrentam a escolha de tentar implantar um sistema de segurança internamente ou contratar por meio de terceiros.

Implementação interna

“Interno” nesse sentido significa um funcionário (ou departamento) dedicado com experiência em segurança da informação. A empresa pode tentar encontrar essa pessoa no mercado ou treinar por conta própria. Os prós e contras dessa abordagem são:

+ A empresa controla o processo de formação, pode adaptar esse processo às necessidades particulares da corporação ou encontrar uma pessoa com as competências necessárias

+ Um colaborador conhece melhor os processos internos da empresa, podendo oferecer soluções mais eficazes e assertivas

+ Um funcionário poderá responder mais rapidamente a ameaças e problemas

+ Os segredos da empresa estarão menos suscetíveis a cair em mãos erradas

+ Pode ser mais econômico do que contratar especialistas externos, especialmente se o funcionário já fizer parte da equipe

+ O treinamento elevará o status profissional do colaborador, o que poderá aumentar sua fidelização

– O treinamento levará muito tempo

– Pode ser mais caro contratar um especialista pronto do que terceirizar, mas também levará muito tempo

– Um funcionário treinado provavelmente conhecerá menos a área de assunto do que um profissional experiente em segurança da informação

– Não há garantia de que tal know-how de implementação será útil no futuro; isso é especialmente verdadeiro se um funcionário dedicado receber a tarefa – o que ele fará após a implantação?

– Um colaborador alocado neste projeto pode deixar a empresa, assim a empresa vai ter que substituí-lo ou realizar contratações para manter a solução

Essa abordagem é relevante para empresas que estão crescendo ou planejando expandir, pois estabelecerá as bases para o futuro do departamento de segurança da informação. No entanto, se não houver tais planos, ou se o crescimento não se traduzir em desenvolvimento de infraestrutura, não adianta investir em capacitação de novas habilidades para os profissionais.

Implementação por meio de terceiros

O mercado está repleto de prestadores de serviços que oferecem múltiplas soluções, como auditoria de infraestrutura; Implantação e manutenção de sistemas de segurança de TI. Prós e contras:

+ Economiza tempo: não há necessidade de treinar ou contratar ninguém

+ É provável que um contratado especializado tenha conhecimento e experiência na área de segurança da informação

+ A terceirização pode oferecer uma ampla gama de serviços que vão além das capacidades dos recursos internos

+ Uso mais eficiente de recursos próprios — todas as preocupações com a implementação são terceirizadas

+ Menos riscos, além da possibilidade de transferi-los ao contratar alguém especializado

– A longo prazo, um terceiro pode acabar sendo mais caro do que a utilização de profissionais do quadro interno

– Um contratado pode não entender os processos internos de negócios, levando a soluções mal adaptadas

– Falta de transparência: você não pode ter certeza de quanto o contratante realmente sabe sobre os produtos que estão sendo implantados

– Problemas de confidencialidade podem surgir, pois um profissional terceirizado terá acesso aos seus dados, mas você não tem como garantir a conscientização sobre as políticas internas de segurança do prestador de serviço

– A empresa pode ficar dependente da terceirização

– Você não terá um entendimento completo do que está acontecendo, com menor capacidade de controlar os negócios diante do processo de implementação e suporte

No geral, contratar um terceiro é uma forma sensata e comum de implantar um sistema de segurança da informação. Normalmente, esses fornecedores de serviços cooperam com desenvolvedores de soluções, são certificados, têm status de parceiro e fornecem garantias. Existe também uma terceira via…

Implementação pelo desenvolvedor

Essa abordagem é semelhante à segunda, com a diferença de que a implementação é realizada pelo desenvolvedor, consequentemente a equipe é especializada na solução. O quesignifica:

+ Sem dependência de terceiros: a solução funcionará enquanto seu desenvolvedor permanecer no mercado

+ A garantia direta do fornecedor reduzirá ainda mais os riscos

+ A configuração e a implementação dos produtos serão tão rápidas e eficientes quanto possível
+ Minimiza o tempo de inatividade causado por configuração incorreta e longos períodos de configuração
+ Otimiza o retorno dos investimentos em segurança da informação, pois a configuração especializada garantirá que os produtos funcionem com todo o seu potencial

A maioria das pequenas e médias empresas nem precisa da presença de especialistas terceirizados no local – as funcionalidades do servidor geralmente estão na nuvem e, de maneira geral, os sistemas podem ser monitorados remotamente.

Nós oferecemos o Kaspersky Professional Services — nossa própria solução de pacote para implementação das ferramentas de segurança da informação da Kaspersky. Inclui uma ampla gama de serviços: análise de infraestrutura e políticas existentes; desenvolvimento de políticas e eliminação de vulnerabilidades; implementação e atualização de soluções; suporte; criptografia para armazenamento de dados. A Kaspersky tem equipes locais em todo o mundo que falam seu idioma e possuem o conhecimento necessário. Nosso pacote de soluções é perfeito para os pequenos e médios negócios, pois diminuirá as atribuições do departamento de TI ou até mesmo eliminará a necessidade de um administrador de sistema em tempo integral.

 

Dicas