Sete requisitos mandatórios ao escolher um MSSP

Não é razoável esperar que todos os problemas sejam resolvidos logo após a assinatura do contrato de terceirização em segurança da informação. Alguns riscos devem ser avaliados e gerenciados antes, durante e depois do processo. Capacidade do provedor para lidar com aspectos específicos da organização, confiança na capacidade da contratada, manutenção do sigilo das informações gerenciadas pelo serviço, manutenção das equipes internas responsáveis pelo contrato e pelo seu resultado, delineamento de uma estratégia para reverter a dependência do provedor caso ele saia do mercado ou não performe adequadamente, são algumas questões a serem observadas para reduzir os riscos de fracasso do processo de terceirização.

A preparação para o processo de terceirização em segurança da informação é fundamental para reduzir o risco de insucesso. Para facilitar as coisas é fundamental que a organização inicie esse processo com objetivos de segurança bem definidos e com um rigoroso critério de avaliação das empresas candidatas.

No caso de contratação de um MSSP – Managed Security Service Provider – alguns requisitos são mandatórios. Não é razoável avaliar fornecedores que não tenham, no mínimo, o seguinte:

1. Infraestrutura de alta disponibilidade e tolerante a falhas com, ao menos, dois SOC (Security Operation Center) operando 24x7x365. Cada um desses centros de operação deve ser capaz de lidar isoladamente com todos os clientes.

2. Equipes amplamente capacitadas em segurança e com profissionais certificados pelos fabricantes dos produtos utilizados para prestar os serviços em todos os turnos. Experiência da equipe e baixa rotatividade também são igualmente relevantes.

3. Processos e sistemas de gestão que atendam as melhores práticas de gestão de TI em geral e da segurança da informação em particular.

4. Capacidade de entregar relatórios frequentes, consistentes e úteis sobre todos os aspectos dos serviços contratados.

5. Portal do Cliente para abertura e acompanhamento em tempo real do tratamento de solicitações e incidentes.

6. Portifólio de soluções capaz de atender a todas as demandas atuais e futuras do cliente, evitando assim múltiplos relacionamentos com fornecedores do mesmo tipo.

7. Capacidade financeira para acompanhar as demandas da empresa contratante e garantir a continuidade dos negócios durante a expectativa de duração dos contratos.

Além disso, no contrato deve ser possível exprimir os objetivos de segurança em termos quantitativos e estes devem ser colocados em acordos de nível de serviço (Service Level Agreements – SLAs) que impliquem em multas significativas para o fornecedor quando não atingidos.

De acordo com esses mesmos objetivos, devem ser estabelecidos critérios claros de seleção dos fornecedores de modo a não utilizar apenas o preço e características técnicas de produtos para escolher a melhor proposta.

Uma vez escolhido o fornecedor as atenções devem se concentrar no processo de implantação de soluções e transferência de responsabilidades. Exigir e validar um processo detalhado de transferência pode economizar muito dinheiro e resguardar as reputações dos patrocinadores dos projetos. Por último, mas não menos importante: planeje a saída do contrato com cuidado. Problemas acontecem e a melhor maneira de minimizá-los é assumir que eles podem ocorrer e planejar a solução com antecedência.

Marcus Moraes é vice-presidente da Arcon

« Retornar    |    Imprimir    |    Indique esta página

Reconhecimento

Anuário Outsourcing 2013 - Pelo 4º ano consecutivo, a Arcon fica em 1º lugar do ranking no segmento de MSS.

Matéria completa


Anuário Informática Hoje

A Arcon está entre as 10 empresas de TI que mais cresceram no ano passado.
Matéria completa 


Posicionamento

Sobre a empresa

Com 18 anos de experiência, a Arcon tem como principal objetivo proporcionar a segurança de tecnologia da informação indispensável para seus clientes, elevando o nível de proteção e maximizando os resultados de seus investimentos.

Com SOCs redundantes localizados no Rio de Janeiro, São Paulo e Flórida e uma equipe de profissionais de segurança certificados e altamente capacitados, a Arcon protege mais de 600.000 ativos distribuídos nos 5 continentes e processa, diariamente, 1 bilhão de eventos.