SLA como elemento da segurança

Terceirizar não significa que a atividade repassada é menos importante. Significa que foi identificado pela organização que um prestador de serviço executa a tarefa com mais eficiência e que desta forma o serviço prestado para o cliente será de melhor qualidade.

Consideramos que um dos objetivos da segurança da informação é garantir a disponibilidade dessa informação para a realização dos negócios da organização. Na medida em que prestadores de serviço atuam no ambiente onde é processada, transmitida ou armazenada a informação, eles são elementos críticos para a proteção da mesma.

Uma maneira de realizar uma boa gestão sobre o serviço terceirizado é a adoção de SLA (Service Level Agreement) entre a organização e o prestador de serviço. Um SLA é um acordo que prevê de modo claro e em termos quantificáveis os objetivos e as responsabilidades do fornecedor e do cliente.

Definir quais atividades ou funções devem ser terceirizadas exige um estudo estruturado no qual devemos contemplar inicialmente, em relação à capacidade de realização da tarefa, os níveis de maturidade da organização e dos prestadores de serviço que atuam na região da empresa. Evidentemente que em relação aos prestadores de serviço muitos aspectos devem ser contemplados: saúde financeira, acionistas, tempo no mercado, referências de clientes e ex-clientes.

Mesmo depois de se decidir pela terceirização e após a definição do fornecedor, é importante que se definam os indicadores e as métricas para garantir a execução da atividade. Através do monitoramento desses indicadores a organização pode acompanhar o desempenho desse terceiro e identificar situações que poderão trazer uma indisponibilidade da informação. Como exemplo simples, podemos citar uma terceirização do ambiente de tecnologia onde os tempos de resposta começam a aumentar.

Este efeito pode ser um alerta que mostra que o prestador de serviço não está em condições de atender um possível crescimento de demanda de transações. Este fato pode, em um determinado momento, “travar” o acesso de todos os usuários na rede da organização fazendo com que a informação fique indisponível. Como conseqüência teremos uma parada na realização dos negócios da organização.

Esses indicadores e limites de tolerância devem ser viáveis e possíveis de serem cumpridos pelo fornecedor de serviço. Um dos objetivos de um SLA é a formalização dos parâmetros para possibilitar o seu cumprimento. Não está entre os seus objetivos exigir do fornecedor um desempenho que não é possível de ser executado. O contrato de SLA deve ser feito para proteção dos dois lados envolvidos: fornecedor e cliente. Seu objetivo maior é garantir que o serviço será realizado de forma adequada e compatível com o que foi previamente definido.

Um bom contrato de SLA deve também conter condições de multas para o fornecedor de serviços caso ele não cumpra os indicadores de desempenho estabelecidos. Evidentemente, desde que a organização/cliente forneça todos os elementos necessários para que o fornecedor desempenhe suas atividades. Para aqueles serviços que podem comprometer a disponibilidade da informação, a área de segurança deve ser envolvida para identificar a melhor forma de minimizar e eliminar riscos através do acompanhamento dos serviços prestados por terceiros.

Mais do que um simples fornecedor de serviço, o prestador deve ser um parceiro da organização. Afinal, como um médico, ele pode tratar de informações de alto sigilo. Isto nos leva a uma outra questão: os prestadores de serviço devem aceitar e cumprir a política de segurança da informação da organização.

Parceria exige comprometimento entre os envolvidos. Afinal, não devemos terceirizar com o objetivo de repassar um problema. Devemos terceirizar com o objetivo de melhorar a eficiência, eficácia e qualidade do serviço prestado aos clientes da organização. E, neste caso, o SLA é uma filosofia, que pode ser concretizada em contrato, um elemento que pode permitir o monitoramento que garanta a disponibilidade da informação.