sexta-feira, 9 de abril de 2010

Monitorando a segurança dos serviços terceirizados


A terceirização da infraestrutura de TI ou mesmo toda a operação, incluindo sistemas e serviços de TI, é uma realidade cada vez mais próxima para muitas empresas. Muitas delas, durante a negociação dos contratos e indicadores de SLA (Service Level Agreement), preocupam-se com a disponibilidade dos serviços, quantidade e tempo de atendimento dos chamados, armazenamento de dados, entre outros. Porém, para os indicadores relacionados com segurança da informação nem sempre encontramos índices precisos para medir a qualidade dos serviços prestados.
Durante a análise dos contratos, muitas vezes há cláusulas genéricas como: manter o parque computacional atualizado, aplicar regularmente os patches de segurança, revisar as regras do firewall, testar o plano de contingência, realizar os testes de invasão, etc.
Nessas situações, quando revisamos o serviço prestado pelo provedor fica difícil afirmar se a qualidade está adequada ou não, pois não há indicadores claros e específicos sobre:
·         O tempo que uma atualização leva para estar disponível nos servidores; ·         Qual deve ser a periodicidade das revisões do firewall. Em quanto tempo as incorreções identificadas devem ser tratadas; ·         Quem deve fazer os testes de invasão, a própria empresa ou alguém independente? Quem deve receber o relatório e acompanhar as correções?
·         Quem é responsável por um vazamento de informações?
Além de métricas mais precisas para as disciplinas de segurança da informação, também é necessário que se estabeleçam penalidades para o não cumprimento dos indicadores estabelecidos. As penalidades, normalmente, transformam-se em descontos comerciais nas faturas mensais seguintes.
No entanto, essas melhorias nos contratos e o SLA de nada vão adiantar, se as empresas não estabelecerem um processo interno rígido com uma estruturação de monitoramento próprio, utilizando seus relatórios internos para confrontar os resultados apresentados pelo prestador. É importante lembrar que sempre que terceirizamos uma atividade diminuímos a carga operacional da companhia, porém aumentamos a responsabilidade gerencial sobre o prestador de serviços. Frank Meylan
Reações:

0 comentários: