Segurança em serviços com parceiros

Contar com a colaboração de parceiros não significa que a organização perde o controle do seu negócio. Significa que a organização pode ser mais ágil a um custo menor por que está utilizando o seu melhor conhecimento e a melhor especialidade do parceiro.

Considerando a que a segurança da informação busca a disponibilidade dos recursos e a conscientização das pessoas e tendo a organização decidido contar com parceiros, temos duas preocupações básicas:

a) Como garantir que os padrões de segurança da organização vão ser mantidos, absorvidos e seguidos pelo pessoal e pela solução dos parceiros?

b) Qual a melhor abordagem para essa contratação: deve-se adotar uma solução integrada por meio de um único parceiro ou uma solução com vários parceiros?

Para a primeira questão é fundamental que a organização tenha de forma explícita quais são os padrões de segurança adotados e que devem ser seguidos pelo prestador de serviço. Deve existir um processo pelo qual cada parceiro será treinado e conscientizado em relação aos padrões e exigências da organização. Somente podemos exigir aquilo que informamos e acordamos com o outro.

A segunda questão, se não for bem-resolvida, pode levar a uma indisponibilidade dos recursos de informação para o negócio da empresa. Para a escolha de uma solução integrada ou uma solução com vários parceiros, devemos considerar alguns aspectos. Esses aspectos são básicos e devem ser complementados com outros para a situação específica da sua empresa.

a. Experiência da sua organização

Considere a experiência da sua organização em soluções e implementações anteriores. Elas podem ser uma boa referência. Quais os reais problemas que essas experiências apresentaram? Esse momento exige profissionalismo. Deixe de lado as emoções e seja extremamente coerente com as vantagens e desvantagens das situações realizadas.

Evidentemente você deverá ter a sabedoria de mudar ou não, sem ser levado nem por modismo nem por conservadorismo.

b. Riscos de operacionais

Como será a gestão do fornecedor ou fornecedores? Como acontecerá a identificação de erros? Se existir um sistema anterior, como acontecerá a migração para o novo sistema/serviço? Os vários fornecedores serão parceiros entre si ou serão apenas defensores do pedaço de cada um?

c. Riscos de Performance

A performance atual será mantida ou melhorada? Como se pode garantir essa performance? Quem será o ponto focal para avaliar essa performance? Em situações de contingência em parte da solução, como ficará o serviço? O nível de serviço de uma parte pode comprometer o serviço como um todo? Quem “paga” essa conta? De quem a organização vai cobrar a indisponibilidade?

d. Riscos Técnicos

Como serão a eficácia e eficiência dos testes? A execução dos testes será mais complexa? Quando forem identificados erros nos testes, será fácil a descoberta da causa? Como poderemos garantir que a solução funcionará adequadamente? Como será abordada a questão de erros que se propagam e crescem na medida em que passam pelas diversas partes da solução?

e. Custo

Como será o custo para a solução em comparação à solução existente ou de outras organizações? Precisando haver renegociação contratual ou alterações de SLA (Service Level Agreement), como acontecerá?

A área de segurança da informação deve ser envolvida nesses projetos desde o início para que essas questões sejam analisadas e avaliadas adequadamente.

Evidentemente não existe uma solução padrão. Cada organização deverá identificar a que mais se adapta e atende às suas necessidades. Porém, considerar os aspectos aqui citados e outros complementares é uma obrigação do bom profissional. Afinal, o nosso desejo para as nossas organizações é que os objetivos de negócio sejam atingidos de uma forma eficiente, eficaz, com custos compatíveis e que atendam aos requisitos de segurança.

Estando você nesse momento de definir soluções com parceiros, considere esses aspectos, estruture seu caminho, tome sua decisão e siga em frente! Não esqueça de registrar e dar conhecimento para que a empresa seja uma organização que aprende, como defende o Mestre Chris Argyris (cientista norte-americano que explora o impacto das estruturas, sistemas de controle e gestão de indivíduos nas organizações).