Terceirização de segurança gera dúvidas em profissionais de TI
A terceirização de segurança libera tecnologia das tarefas banais, mas nem todos os executivos estão dispostos a adotar o modelo de negócio.
[ Hits: 20.112 ]
Por: Fabio Barby em 11/04/2008
Conclusão
Na Infosec World Conference, realizada recentemente em Orlando, inúmeros gerentes de segurança manifestaram suas opiniões sobre a terceirização de segurança.
"Costumávamos gastar muitos milhões de dólares por ano para monitorar nossos firewalls", diz Anish Bhimani, vice-presidente de gerenciamento de risco de TI do JPMorgan Chase, que está deixando de terceirizar funções de segurança. "O que isso me proporciona?".
Monitoramento de firewalls, avaliação de vulnerabilidades e outras funções voltaram a ser executadas internamente com ferramentas compradas, o que parece ser uma solução menos dispendiosa do que a terceirização.
Terceirizar a segurança não é uma prática generalizada na Boeing Commercial Airplanes, onde predomina o desejo de verificar as coisas diretamente. "Você tem que levar em conta a cultura", ressalta Derek Schatz, arquiteto-chefe de segurança.
Mark Grimmelikhuijsen, gerente sênior de segurança de TI da Campbell Soup Company, reconhece que, de um modo geral, hesitaria em terceirizar a segurança.
"Você pode acabar na situação de vigiar o vigia", aponta Grimmelikhuijsen. Ele acredita que a terceirização da segurança introduz novas incertezas. Em caso de conflito, por exemplo, de quem é a responsabilidade?
Terceirizar por motivo de eficiência faz sentido para Kevin McCaffery, gerente sênior de segurança e TI da Avaya, que acrescenta: "Você pode terceirizar as funções, mas não pode terceirizar a vigilância".
A supervisão está no cerne de qualquer acordo de outsourcing, incluindo a segurança. O contrato de terceirização subjacente deve garantir que você está autorizado a auditar o fornecedor, salienta Kathy Kirk, diretora de segurança da informação da Prudential Financial.
O fornecedor de outsourcing deve demonstrar capacidade de cumprir metas de conformidade regulatória. Se sua própria organização tem que satisfazer requisitos como o padrão de segurança de dados Payment Card Industry, o mesmo fará o fornecedor de serviços terceirizados. Você precisa ter algum meio de monitorar as atividades que o fornecedor está exercendo em seu lugar.
Ainda assim, algumas empresas dizem que não cogitaram terceirizar a segurança porque seu pessoal interno parece ser capaz de gerenciá-la suficientemente bem por conta própria.
"Terceirizamos grande parte da nossa empresa, mas se tem uma coisa que não precisamos terceirizar é a segurança", sustenta Greg May, chief technology officer da Paradigm Investment, que possui e opera mais de 90 restaurantes Hardee's no sul dos Estados Unidos.
Fonte:
Matéria retirada de Derwood.eti.br
http://www.derwood.eti.br/modules/news/article.php?storyid=24633
Escrito por NetworkWorld, EUA - http://www.networkworld.com
"Costumávamos gastar muitos milhões de dólares por ano para monitorar nossos firewalls", diz Anish Bhimani, vice-presidente de gerenciamento de risco de TI do JPMorgan Chase, que está deixando de terceirizar funções de segurança. "O que isso me proporciona?".
Monitoramento de firewalls, avaliação de vulnerabilidades e outras funções voltaram a ser executadas internamente com ferramentas compradas, o que parece ser uma solução menos dispendiosa do que a terceirização.
Terceirizar a segurança não é uma prática generalizada na Boeing Commercial Airplanes, onde predomina o desejo de verificar as coisas diretamente. "Você tem que levar em conta a cultura", ressalta Derek Schatz, arquiteto-chefe de segurança.
Mark Grimmelikhuijsen, gerente sênior de segurança de TI da Campbell Soup Company, reconhece que, de um modo geral, hesitaria em terceirizar a segurança.
"Você pode acabar na situação de vigiar o vigia", aponta Grimmelikhuijsen. Ele acredita que a terceirização da segurança introduz novas incertezas. Em caso de conflito, por exemplo, de quem é a responsabilidade?
Terceirizar por motivo de eficiência faz sentido para Kevin McCaffery, gerente sênior de segurança e TI da Avaya, que acrescenta: "Você pode terceirizar as funções, mas não pode terceirizar a vigilância".
A supervisão está no cerne de qualquer acordo de outsourcing, incluindo a segurança. O contrato de terceirização subjacente deve garantir que você está autorizado a auditar o fornecedor, salienta Kathy Kirk, diretora de segurança da informação da Prudential Financial.
O fornecedor de outsourcing deve demonstrar capacidade de cumprir metas de conformidade regulatória. Se sua própria organização tem que satisfazer requisitos como o padrão de segurança de dados Payment Card Industry, o mesmo fará o fornecedor de serviços terceirizados. Você precisa ter algum meio de monitorar as atividades que o fornecedor está exercendo em seu lugar.
Ainda assim, algumas empresas dizem que não cogitaram terceirizar a segurança porque seu pessoal interno parece ser capaz de gerenciá-la suficientemente bem por conta própria.
"Terceirizamos grande parte da nossa empresa, mas se tem uma coisa que não precisamos terceirizar é a segurança", sustenta Greg May, chief technology officer da Paradigm Investment, que possui e opera mais de 90 restaurantes Hardee's no sul dos Estados Unidos.
Fonte:
Matéria retirada de Derwood.eti.br
http://www.derwood.eti.br/modules/news/article.php?storyid=24633
Escrito por NetworkWorld, EUA - http://www.networkworld.com
Páginas do artigo
1. Introdução2. Dados e conceitos
3. Conclusão
Outros artigos deste autor
Apache2 + PHP5 + MySQL + PhpMyAdmin + Webmin de forma simples e objetiva
Leitura recomendada
Hardening, se adequando as normas ISO 27000
Desvendando código malicioso no fórum Viva o Linux
Alta Disponibilidade (High Availability) em sistemas GNU/Linux
Comentários
[1] Comentário enviado por kalib em 11/04/2008 - 11:07h
Parabéns pelo artigo cara...
É complicado falar em segurança quando se deixa informações de sua empresa com terceiros...
Claro..existe toda uma política de trabalho, ética..etc...
Porém acredito que ambos os cenários devem conviver perfeitamente juntos.
Por exemplo??
Tenho um serviço de correio.. acho válido deixar a questão da segurança e estrutura de nosso serviço de correio com terceiros...
Seria um exemplo de segurança terceirizada..
Porém por outro lado..eu não deixaria nunca minhas mídias de backup da empresa com dados de clientes por exemplo ou mesmo de projetos internos...Nunca deixaria tais informações com terceiros....
Acho que deve haver um equilíbrio como forma de perder o mínimo de tempo possível com tarefas desnecessárias podendo assim focar sua visão e força/trabalho em algo que realmente necessita de uma atenção maior. ;]
Parabéns pelo artigo cara...
É complicado falar em segurança quando se deixa informações de sua empresa com terceiros...
Claro..existe toda uma política de trabalho, ética..etc...
Porém acredito que ambos os cenários devem conviver perfeitamente juntos.
Por exemplo??
Tenho um serviço de correio.. acho válido deixar a questão da segurança e estrutura de nosso serviço de correio com terceiros...
Seria um exemplo de segurança terceirizada..
Porém por outro lado..eu não deixaria nunca minhas mídias de backup da empresa com dados de clientes por exemplo ou mesmo de projetos internos...Nunca deixaria tais informações com terceiros....
Acho que deve haver um equilíbrio como forma de perder o mínimo de tempo possível com tarefas desnecessárias podendo assim focar sua visão e força/trabalho em algo que realmente necessita de uma atenção maior. ;]
[2] Comentário enviado por y2h4ck em 11/04/2008 - 11:42h
Nenhuma empresa está apta a cuidar de sua própria segurança totalmente, afinal ... sempre existe aquele famoso "jeitinho" para fazer alguma gambiarra e colocar algo pra funcionar. É extremamente necessário que haja uma auditoria externa para apontar melhorias e necessidades, mas isso não quer dizer que vc vai dar seus dados secretos da empresa a eles, mas sim, atuar em conjunto para uma melhoria da segurança.
Nenhuma empresa está apta a cuidar de sua própria segurança totalmente, afinal ... sempre existe aquele famoso "jeitinho" para fazer alguma gambiarra e colocar algo pra funcionar. É extremamente necessário que haja uma auditoria externa para apontar melhorias e necessidades, mas isso não quer dizer que vc vai dar seus dados secretos da empresa a eles, mas sim, atuar em conjunto para uma melhoria da segurança.
[3] Comentário enviado por elgio em 11/04/2008 - 13:05h
Isto é muito, mas muito complicado!
É que sabe, eu não sei o que é pior, se os dados sigilosos ficarem nas mãos de uma empresa, que se for séria, fará de tudo para zelar pela sua imagem, ou se nas mãos de um funcionário talvez descontente!
Não pensem que todo administrador de rede que está na folha de pagamento é bonzinho! As vezes o perigo mora ao lado!
Tem muita, mas MUITA estória (e tantas outras que são segredo) de funcionário que ferrou a empresa porque soube que seria DEMITIDO!
Eu mesmo conheço uma de um que trocou todas as senhas de administrador de Windows e disse que só contaria se o acordo de recisão lhe fosse favorável!
Então...
Sei lá!!
Isto é muito, mas muito complicado!
É que sabe, eu não sei o que é pior, se os dados sigilosos ficarem nas mãos de uma empresa, que se for séria, fará de tudo para zelar pela sua imagem, ou se nas mãos de um funcionário talvez descontente!
Não pensem que todo administrador de rede que está na folha de pagamento é bonzinho! As vezes o perigo mora ao lado!
Tem muita, mas MUITA estória (e tantas outras que são segredo) de funcionário que ferrou a empresa porque soube que seria DEMITIDO!
Eu mesmo conheço uma de um que trocou todas as senhas de administrador de Windows e disse que só contaria se o acordo de recisão lhe fosse favorável!
Então...
Sei lá!!
[4] Comentário enviado por kalib em 11/04/2008 - 19:30h
É verdade...existe muito picareta na nossa área também..é claro...
A segurança deve ser bem estruturada e de forma sensata...
Não jogando pérolas aos porcos...
Um fato marcante é que na maioria dos casos de furtos de informações ou invasões em empresas....a culpa geralmente é interna..ou seja...de algum usuário insatisfeito ou mesmo mal informado com relação a segurança da informação..seja ela a nível técnico ou mesmo social.
Um grande vilão de todo administrador de redes é a boa e velha engenharia social... :/
fazer o que não é mesmo..
Não basta conhecer a linguagem das máquinas, mas também a linguagem dos seres humanos repletos de sentimentos variáveis...
um bom tópico para uma mesa redonda este, não?!
Quem diria que eu algum dia teria a sorte de poder trocar idéias sobre isso com nomes como elgio e y2h4ck.. hauhuha
grande honra para alguém que está começando a trilhar o caminho de segurança da informação.
[]´s
É verdade...existe muito picareta na nossa área também..é claro...
A segurança deve ser bem estruturada e de forma sensata...
Não jogando pérolas aos porcos...
Um fato marcante é que na maioria dos casos de furtos de informações ou invasões em empresas....a culpa geralmente é interna..ou seja...de algum usuário insatisfeito ou mesmo mal informado com relação a segurança da informação..seja ela a nível técnico ou mesmo social.
Um grande vilão de todo administrador de redes é a boa e velha engenharia social... :/
fazer o que não é mesmo..
Não basta conhecer a linguagem das máquinas, mas também a linguagem dos seres humanos repletos de sentimentos variáveis...
um bom tópico para uma mesa redonda este, não?!
Quem diria que eu algum dia teria a sorte de poder trocar idéias sobre isso com nomes como elgio e y2h4ck.. hauhuha
grande honra para alguém que está começando a trilhar o caminho de segurança da informação.
[]´s
[5] Comentário enviado por Gilmar_GNU/Slack em 12/04/2008 - 12:29h
Vou ser direto !
O problema dessas empresas em questão de tercerização é Redução de custos !
Mais e aquela coisa.
como o y2h4ck falou, nenhuma empresa está qualificada a ciudar da segurança de seus dados sigilosos.
E tem uma coisinha bem interessante que é realmente um fator importante. É o que o Kalib dise.
Existe muito picareta, mais eu prefiro chamar de Profissoinais incompetentes por ai , que não sabem realmente fazer um trabalho bem feito..
Outra coisa importante que eu preso , e muito !
O trabalho em equipe; que é algo muito importante ..
fabiobarby. Parabens pelo topico e que esse assunto realmente de ibope aqui no forum !
Vou ser direto !
O problema dessas empresas em questão de tercerização é Redução de custos !
Mais e aquela coisa.
como o y2h4ck falou, nenhuma empresa está qualificada a ciudar da segurança de seus dados sigilosos.
E tem uma coisinha bem interessante que é realmente um fator importante. É o que o Kalib dise.
Existe muito picareta, mais eu prefiro chamar de Profissoinais incompetentes por ai , que não sabem realmente fazer um trabalho bem feito..
Outra coisa importante que eu preso , e muito !
O trabalho em equipe; que é algo muito importante ..
fabiobarby. Parabens pelo topico e que esse assunto realmente de ibope aqui no forum !
[6] Comentário enviado por Teixeira em 12/04/2008 - 20:18h
O que sempre me preocupou com referência a "terceirização" de mão-de-obra é exatamente a qualidade e a confiabilidade dos serviços prestados por terceiros.
Percebe-se isso no magistério, na conservação e limpeza, na panificação, na saúde, etc. onde há pessoas competentes nos cargos-chave mas onde quem realmente exerce as atividades contratadas é um pessoal de conhecimento empírico, que foi treinado especificamente para determinada função.
Uma empresa terceirizada - de qualquer ramo - pode perfeitamente exercer de forma genérica a função para a qual foi contratada, MAS isso requer uma supervisão constante por parte de empresa contratante.
Aí o impasse: QUEM vai exercer tal supervisão? Precisa ser alguém com conhecimento, experiência, e de confiança.
Dá para demitir o pessoal da segurança?
Sim, mas somente a "peãozada".
Funcionários-chave realmente competentes, em especial nessa área, devem trabalhar felizes.
E na maioria das vezes o corte na folha de pagamento não se traduz necessariamente em economia.
Na antiga fábrica de televisores norte-americana Emerson, onde todos os funcionários trabalhavam de forma quase exagerada, havia um departamento onde ficavam seis homens sem fazer nada, e brincando com móbiles que ficavam pendurados no teto.
Esses homens eram pagos para ter idéias, mas isso não acontecia com muita freqüência.
De repente, alguém naquela sala "dava um estalo" e inventava uma forma de economizar dois parafusos em cada televisor.
Pronto: o salário de todo o departamento estava justificado, e ainda sobrava bastante lucro para a empresa.
Portanto, o lucro ou a estabilidade de uma empresa nem sempre é visível ou podem ser mensurados através de números.
Existem certamente muitos outros fatores envolvidos.
O que sempre me preocupou com referência a "terceirização" de mão-de-obra é exatamente a qualidade e a confiabilidade dos serviços prestados por terceiros.
Percebe-se isso no magistério, na conservação e limpeza, na panificação, na saúde, etc. onde há pessoas competentes nos cargos-chave mas onde quem realmente exerce as atividades contratadas é um pessoal de conhecimento empírico, que foi treinado especificamente para determinada função.
Uma empresa terceirizada - de qualquer ramo - pode perfeitamente exercer de forma genérica a função para a qual foi contratada, MAS isso requer uma supervisão constante por parte de empresa contratante.
Aí o impasse: QUEM vai exercer tal supervisão? Precisa ser alguém com conhecimento, experiência, e de confiança.
Dá para demitir o pessoal da segurança?
Sim, mas somente a "peãozada".
Funcionários-chave realmente competentes, em especial nessa área, devem trabalhar felizes.
E na maioria das vezes o corte na folha de pagamento não se traduz necessariamente em economia.
Na antiga fábrica de televisores norte-americana Emerson, onde todos os funcionários trabalhavam de forma quase exagerada, havia um departamento onde ficavam seis homens sem fazer nada, e brincando com móbiles que ficavam pendurados no teto.
Esses homens eram pagos para ter idéias, mas isso não acontecia com muita freqüência.
De repente, alguém naquela sala "dava um estalo" e inventava uma forma de economizar dois parafusos em cada televisor.
Pronto: o salário de todo o departamento estava justificado, e ainda sobrava bastante lucro para a empresa.
Portanto, o lucro ou a estabilidade de uma empresa nem sempre é visível ou podem ser mensurados através de números.
Existem certamente muitos outros fatores envolvidos.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Não to conseguindo resolver este problemas ao instalar o playonelinux (1)
Excluir banco de dados no xampp (1)
Top 10 do mês
-
Xerxes
1° lugar - 64.752 pts -
Fábio Berbert de Paula
2° lugar - 50.396 pts -
Buckminster
3° lugar - 17.413 pts -
Mauricio Ferrari
4° lugar - 15.157 pts -
Alberto Federman Neto.
5° lugar - 13.684 pts -
Diego Mendes Rodrigues
6° lugar - 13.522 pts -
Daniel Lara Souza
7° lugar - 12.864 pts -
Andre (pinduvoz)
8° lugar - 10.222 pts -
edps
9° lugar - 10.289 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.156 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
