Apesar da existência de uma massa de mitos, a resposta a esta pergunta é relativamente inequívoca. Com algumas alterações, resume-se à tese: terceirização em segurança cibernética, especialmente serviços gerenciados de detecção e resposta, é muito mais eficiente e econômico para as empresas do que garantir todo o processo em geral pelas forças de uma estrutura interna especializada.
A Tarefa Principal é Minimizar Custos
O mito mais persistente da cibersegurança está associado ao conceito de custos, a questão mais premente e urgente para a alta administração: terceirizar é sempre mais caro do que ter especialistas internos. Dissipar esse mito não é tão difícil. Vamos prosseguir.
Vale a pena começar pelo fato de que a segurança cibernética funciona da forma mais eficiente possível exclusivamente na conexão de pessoas, tecnologia e processos. Só assim, e não de outra forma, é possível garantir um ciclo completo de proteção da empresa contra ameaças externas e internas do ciberespaço.
Ao decidir alocar um orçamento para segurança cibernética, a gestão da empresa muitas vezes é guiada por conceitos desatualizados e fundamentalmente incorretos. Apenas investimentos de capital claros e prioritários em tecnologia são levados em consideração. Afinal, como parece à primeira vista, o elo mais caro dessa cadeia é a tecnologia. Você pode senti-los e pelo menos avaliar visualmente o resultado dos gastos financeiros. Ainda hoje, para muitos, o conceito de projeto de cibersegurança está associado à compra de sistemas de proteção específicos, que, grosso modo, devem ser comprados, instalados e colocados em ação. Esta é a primeira e principal ilusão.
Comprar tecnologia é um investimento único. Em outras palavras, um investimento razoável e compreensível. Um pouco inconveniente, mas constante e, como resultado, os custos de volume ficam mais escondidos.
As pessoas certas são o investimento essencial
As pessoas são o ativo mais caro e, ao mesmo tempo, o mais valioso do negócio. Para garantir o processo, é fundamental entender: se faz sentido formar uma equipe multidisciplinar e altamente especializada dentro da empresa (que é exatamente o que deveria ser nas condições atuais de uma variedade altamente complexa de tecnologias e ameaças) ou se é faz sentido confiar este processo total ou parcialmente a um executor externo competente que de A a Z é construído e focado em resolver tais questões. Em linguagem simples, terceirizar e em termos profissionais, inscreva-se nos serviços de DR (detecção e resposta) de segurança gerenciada.
É por isso que é importante calcular os custos de forma abrangente e correta na fase de planejamento dos investimentos em segurança cibernética. Você deve levar em conta, em primeiro lugar, não investimentos pontuais em ativos fixos, mas custos operacionais futuros para sua manutenção. Resulta principalmente em investimentos adicionais em pessoal e na sua formação. Ao considerar apenas o primeiro, a empresa não consegue encontrar o equilíbrio certo, mas cria uma eficiência de segurança ilusória por meio do acúmulo de tecnologias. Ao mesmo tempo, o processo subjacente é contraproducente e o resultado é inútil.
Muitas empresas chegaram à mesma situação – estão repletas de complexos de segurança tecnológica caros. Eles não podem lidar com a carga de trabalho operacional de sua manutenção. Não se trata apenas de serviço, mas não se trata apenas de serviço, mas não se trata apenas de serviço. A questão é analisar e aplicar os resultados de tais sistemas para melhorar o processo operacional. Existem muitas tecnologias, mas a eficiência caminha para zero.
É seguro entregar a segurança nas mãos de outra pessoa?
O segundo mito persistente, que é lógico, e talvez, ao contrário, ilógico, surge na situação de segurança da informação e na maioria das vezes soa na forma de uma pergunta retórica: “Como podemos terceirizar a segurança se é segurança?” Mas espere, você não terceiriza seus cuidados de saúde na policlínica? Você não terceiriza o cuidado de seus filhos para babás? Por alguma razão, essas áreas não causam debates tão violentos, disputas, dúvidas ou pensamentos profundos. Vale a pena porque um médico é especialista e nem sempre você fará um diagnóstico e não removerá a apendicite. Embora, à primeira vista, seja suficiente comprar apenas um bisturi, algodão e um curativo, mas e depois?
A terceirização em segurança cibernética não é um exemplo clássico de terceirização na forma de transferência completa de processos para um contratado externo. É sempre uma sinergia dos esforços do cliente em conjunto com as ações do provedor de segurança. Além de tudo, todo o processo é rigorosamente regulamentado e registrado no SLA (service level agreement), cujas garantias não são de forma alguma comparáveis ao nível de responsabilidade de um determinado funcionário do quadro da empresa.
Na maioria das vezes, observamos uma situação em que existem “vários operadores” na empresa, que atendem os sistemas e geram relatórios sobre a eficiência dos processos. Em outras palavras, um especialista que define tarefas para si mesmo as executa. Nem toda organização, mesmo uma grande, pode manter uma grande equipe de especialistas e gerentes de processos. Ao mesmo tempo, é simplesmente impossível avaliar objetivamente os resultados de um único “multiprocessador” no qual todos os processos são baseados. Afinal, na maioria das vezes, a gestão está longe de ser competente em questões de segurança cibernética. Ninguém avalia os riscos que surgem neste caso, e as consequências podem ser deploráveis.
Uma empresa para a qual a segurança é terceirizada não pode prejudicar a priori o negócio do cliente, pois trata-se de uma questão de reputação. Além disso, de facto, os serviços de segurança não dizem directamente respeito à informação comercial.
Ao mesmo tempo, a empresa cliente recebe proteção total contra ameaças 24 horas por dia, 7 dias por semana, as melhores tecnologias até o momento e uma equipe de profissionais. Este último é recrutado precisamente na proporção e na quantidade correspondente ao alcance e especificidade das tecnologias exigidas para um determinado negócio.
A urgência da escolha é especialmente relevante à luz dos acontecimentos recentes. O colapso dos frágeis sistemas de proteção fez com que se percebesse o quanto é importante formar uma segurança multinível e profissional. Patches caseiros não funcionam. Milhares de empresas tiveram a oportunidade de ver isso. A própria questão da terceirização desapareceu. A resposta é clara: é preciso atrair especialistas experientes e atuar aqui e agora.
Deixe um comentário
Tem algo a dizer sobre este artigo? Adicione seu comentário e comece a discussão.