Por NetworkWorld, EUA

Quando se trata de terceirizar funções de segurança, o ceticismo ainda toma conta de muitos usuários. É, no mínimo, controversa a idéia de delegar o controle da segurança da rede a uma empresa paga para manter o equipamento, monitorar ataques, fazer varreduras, coletar registros ou atualizar software de segurança para os funcionários.

Os gerentes de segurança estão divididos, argumentando que pode ser uma bênção ou uma maldição para a empresa. Os defensores da terceirização de segurança alegam que a equipe interna de TI fica livre das tarefas banais, podendo dedicar-se a questões mais estratégicas sem precisar de reforço.

Seus detratores temem que os riscos à segurança passem despercebidos porque o pessoal de fora obedecerá a um contrato mecanicamente, sem uma atenção mais criteriosa. A eficácia de custos também faz parte do debate, mas a questão central do controle é que desperta mais emoção.

Os adeptos vêem a terceirização de segurança como uma maneira de deslocar seus especialistas em segurança, que são poucos, para funções mais estratégicas, ao mesmo tempo garantindo a execução das tarefas cotidianas.

“Ou aumentamos nossa equipe interna de TI ou contamos com pessoal de serviços de terceirização de segurança”, constata Andre Gold, responsável pelo gerenciamento de risco de TI na subsidiária norte-americana da ING, empresa global de serviços financeiros sediada na Holanda.

Segundo Gold, tarefas como gerenciamento de patch e vulnerabilidades ou suporte a antivírus estão consumindo um tempo que seria mais bem empregado em operações estratégicas de gerenciamento de risco para ajudar as empresas a cumprir metas de negócio online com parceiros e clientes, por exemplo.

“Eu preferiria que o pessoal da ING galgasse posições”, revela Gold. Em abril, a companhia espera selecionar pelo menos um serviço de terceirização de segurança — talvez na Índia ou outro lugar qualquer — para grandes contratos plurianuais de gerenciamento remoto de segurança de dados e rede.

“Eu chamo de right-sourcing de segurança”, define Gold. A ING já terceiriza parte da manutenção de TI e do desenvolvimento de aplicativos. Conseqüentemente, a idéia de terceirizar a segurança não foi um choque de cultura na companhia. Gold espera que esta solução seja eficaz em termos de custos comparada a contratar mais pessoal, mas não é a principal motivação.

Contudo, a terceirização de segurança ainda tende a gerar opiniões negativas.

“Em princípio, sou contra”, afirma Jon Gossels, presidente da consultoria SystemExperts, que orienta corporações em estratégias de segurança, com foco em questões regulatórias.

Outros destaques do COMPUTERWORLD:
> 7 modos de negociar um contrato de software
> Cinco coisas que muito boas no Windows 2008 Server Edition
> Prêmio Melhores Empresas para Trabalhar TI&Telecom abre inscrições
> Teste seus conhecimentos com um simulado em ITIL
> HP contrata 800 funcionários no Brasil

Gossels admitiria terceirizar algumas “funções discretas”, tais como monitoramento de registros ou teste de penetração. “Mas nunca vi uma terceirização em larga escala funcionar bem”, alerta. “A segurança é capacitadora do negócio, e as decisões que você toma todo dia na sua infra-estrutura de TI impactam o negócio. Não vejo como isso possa ser feito via outsourcing.”
Esta parece ser a visão dominante.

Uma pesquisa da Computer Security Institute com 479 profissionais de segurança no ano passado perguntou que percentual das funções de segurança de computador tinham sido terceirizadas em suas organizações. Sessenta por cento dos entrevistados — em setores diversos como finanças, transporte, varejo, educação, telecomunicações e governo — responderam “nenhuma”.

Apenas 5% terceirizaram mais de 60% das funções de segurança de computador, com 2% na faixa de 81% a 100%.

“Embora certamente exista mercado para a terceirização de algum tipo tarefa de segurança (um exemplo é o teste de segurança de aplicativos web de contato com o cliente), em que a natureza especializada do trabalho e a capacidade de segregar a tarefa para acesso a ativos corporativos essenciais tornam a terceirização mais atrativa, a demanda por um outsourcing desta espécie não parece estar crescendo, no geral”, concluiu a pesquisa da CSI.