Contar com a colaboração de parceiros não significa que a organização perde o controle do seu negócio. Significa que a organização pode ser mais ágil a um custo menor por que está utilizando o seu melhor conhecimento e a melhor especialidade do parceiro.
Considerando a que a segurança da informação busca a disponibilidade dos recursos e a conscientização das pessoas e tendo a organização decidido contar com parceiros, temos duas preocupações básicas:
a) Como garantir que os padrões de segurança da organização vão ser mantidos, absorvidos e seguidos pelo pessoal e pela solução dos parceiros?
b) Qual a melhor abordagem para essa contratação: deve-se adotar uma solução integrada por meio de um único parceiro ou uma solução com vários parceiros?
Para a primeira questão é fundamental que a organização tenha de forma explícita quais são os padrões de segurança adotados e que devem ser seguidos pelo prestador de serviço. Deve existir um processo pelo qual cada parceiro será treinado e conscientizado em relação aos padrões e exigências da organização. Somente podemos exigir aquilo que informamos e acordamos com o outro.
A segunda questão, se não for bem-resolvida, pode levar a uma indisponibilidade dos recursos de informação para o negócio da empresa. Para a escolha de uma solução integrada ou uma solução com vários parceiros, devemos considerar alguns aspectos. Esses aspectos são básicos e devem ser complementados com outros para a situação específica da sua empresa.
a. Experiência da sua organização
Considere a experiência da sua organização em soluções e implementações anteriores. Elas podem ser uma boa referência. Quais os reais problemas que essas experiências apresentaram? Esse momento exige profissionalismo. Deixe de lado as emoções e seja extremamente coerente com as vantagens e desvantagens das situações realizadas.
Evidentemente você deverá ter a sabedoria de mudar ou não, sem ser levado nem por modismo nem por conservadorismo.
b. Riscos de operacionais
Como será a gestão do fornecedor ou fornecedores? Como acontecerá a identificação de erros? Se existir um sistema anterior, como acontecerá a migração para o novo sistema/serviço? Os vários fornecedores serão parceiros entre si ou serão apenas defensores do pedaço de cada um?
c. Riscos de Performance
A performance atual será mantida ou melhorada? Como se pode garantir essa performance? Quem será o ponto focal para avaliar essa performance? Em situações de contingência em parte da solução, como ficará o serviço? O nível de serviço de uma parte pode comprometer o serviço como um todo? Quem “paga” essa conta? De quem a organização vai cobrar a indisponibilidade?
d. Riscos Técnicos
Como serão a eficácia e eficiência dos testes? A execução dos testes será mais complexa? Quando forem identificados erros nos testes, será fácil a descoberta da causa? Como poderemos garantir que a solução funcionará adequadamente? Como será abordada a questão de erros que se propagam e crescem na medida em que passam pelas diversas partes da solução?
e. Custo
Como será o custo para a solução em comparação à solução existente ou de outras organizações? Precisando haver renegociação contratual ou alterações de SLA (Service Level Agreement), como acontecerá?
A área de segurança da informação deve ser envolvida nesses projetos desde o início para que essas questões sejam analisadas e avaliadas adequadamente.
Evidentemente não existe uma solução padrão. Cada organização deverá identificar a que mais se adapta e atende às suas necessidades. Porém, considerar os aspectos aqui citados e outros complementares é uma obrigação do bom profissional. Afinal, o nosso desejo para as nossas organizações é que os objetivos de negócio sejam atingidos de uma forma eficiente, eficaz, com custos compatíveis e que atendam aos requisitos de segurança.
Estando você nesse momento de definir soluções com parceiros, considere esses aspectos, estruture seu caminho, tome sua decisão e siga em frente! Não esqueça de registrar e dar conhecimento para que a empresa seja uma organização que aprende, como defende o Mestre Chris Argyris (cientista norte-americano que explora o impacto das estruturas, sistemas de controle e gestão de indivíduos nas organizações).
Nesta terça-feira (2), a Meta anunciou a expansão global de configurações de conteúdo para contas…
por Bruno Paiuca Dentro da jornada de digitalização dos ecossistemas de segurança, a validação e…
A Alphabet, controladora do Google, planeja levantar US$ 80 bilhões por meio da venda de…
O Sberbank, maior banco da Rússia, está oferecendo modelos de inteligência artificial (IA) a países…
A Palo Alto Networks registrou forte aumento na procura de clientes por orientações sobre segurança…
O iFood confirmou nesta terça-feira (03) o vazamento de dados cadastrais de aproximadamente 1,2 milhão…