Terceirização de segurança gera dúvidas em profissionais de TI
A terceirização de segurança libera tecnologia das tarefas banais, mas nem todos os executivos estão dispostos a adotar o modelo de negócio.
[ Hits: 19.817 ]
Por: Fabio Barby em 11/04/2008
Conclusão
Na Infosec World Conference, realizada recentemente em Orlando, inúmeros gerentes de segurança manifestaram suas opiniões sobre a terceirização de segurança.
"Costumávamos gastar muitos milhões de dólares por ano para monitorar nossos firewalls", diz Anish Bhimani, vice-presidente de gerenciamento de risco de TI do JPMorgan Chase, que está deixando de terceirizar funções de segurança. "O que isso me proporciona?".
Monitoramento de firewalls, avaliação de vulnerabilidades e outras funções voltaram a ser executadas internamente com ferramentas compradas, o que parece ser uma solução menos dispendiosa do que a terceirização.
Terceirizar a segurança não é uma prática generalizada na Boeing Commercial Airplanes, onde predomina o desejo de verificar as coisas diretamente. "Você tem que levar em conta a cultura", ressalta Derek Schatz, arquiteto-chefe de segurança.
Mark Grimmelikhuijsen, gerente sênior de segurança de TI da Campbell Soup Company, reconhece que, de um modo geral, hesitaria em terceirizar a segurança.
"Você pode acabar na situação de vigiar o vigia", aponta Grimmelikhuijsen. Ele acredita que a terceirização da segurança introduz novas incertezas. Em caso de conflito, por exemplo, de quem é a responsabilidade?
Terceirizar por motivo de eficiência faz sentido para Kevin McCaffery, gerente sênior de segurança e TI da Avaya, que acrescenta: "Você pode terceirizar as funções, mas não pode terceirizar a vigilância".
A supervisão está no cerne de qualquer acordo de outsourcing, incluindo a segurança. O contrato de terceirização subjacente deve garantir que você está autorizado a auditar o fornecedor, salienta Kathy Kirk, diretora de segurança da informação da Prudential Financial.
O fornecedor de outsourcing deve demonstrar capacidade de cumprir metas de conformidade regulatória. Se sua própria organização tem que satisfazer requisitos como o padrão de segurança de dados Payment Card Industry, o mesmo fará o fornecedor de serviços terceirizados. Você precisa ter algum meio de monitorar as atividades que o fornecedor está exercendo em seu lugar.
Ainda assim, algumas empresas dizem que não cogitaram terceirizar a segurança porque seu pessoal interno parece ser capaz de gerenciá-la suficientemente bem por conta própria.
"Terceirizamos grande parte da nossa empresa, mas se tem uma coisa que não precisamos terceirizar é a segurança", sustenta Greg May, chief technology officer da Paradigm Investment, que possui e opera mais de 90 restaurantes Hardee's no sul dos Estados Unidos.
Fonte:
Matéria retirada de Derwood.eti.br
http://www.derwood.eti.br/modules/news/article.php?storyid=24633
Escrito por NetworkWorld, EUA - http://www.networkworld.com
"Costumávamos gastar muitos milhões de dólares por ano para monitorar nossos firewalls", diz Anish Bhimani, vice-presidente de gerenciamento de risco de TI do JPMorgan Chase, que está deixando de terceirizar funções de segurança. "O que isso me proporciona?".
Monitoramento de firewalls, avaliação de vulnerabilidades e outras funções voltaram a ser executadas internamente com ferramentas compradas, o que parece ser uma solução menos dispendiosa do que a terceirização.
Terceirizar a segurança não é uma prática generalizada na Boeing Commercial Airplanes, onde predomina o desejo de verificar as coisas diretamente. "Você tem que levar em conta a cultura", ressalta Derek Schatz, arquiteto-chefe de segurança.
Mark Grimmelikhuijsen, gerente sênior de segurança de TI da Campbell Soup Company, reconhece que, de um modo geral, hesitaria em terceirizar a segurança.
"Você pode acabar na situação de vigiar o vigia", aponta Grimmelikhuijsen. Ele acredita que a terceirização da segurança introduz novas incertezas. Em caso de conflito, por exemplo, de quem é a responsabilidade?
Terceirizar por motivo de eficiência faz sentido para Kevin McCaffery, gerente sênior de segurança e TI da Avaya, que acrescenta: "Você pode terceirizar as funções, mas não pode terceirizar a vigilância".
A supervisão está no cerne de qualquer acordo de outsourcing, incluindo a segurança. O contrato de terceirização subjacente deve garantir que você está autorizado a auditar o fornecedor, salienta Kathy Kirk, diretora de segurança da informação da Prudential Financial.
O fornecedor de outsourcing deve demonstrar capacidade de cumprir metas de conformidade regulatória. Se sua própria organização tem que satisfazer requisitos como o padrão de segurança de dados Payment Card Industry, o mesmo fará o fornecedor de serviços terceirizados. Você precisa ter algum meio de monitorar as atividades que o fornecedor está exercendo em seu lugar.
Ainda assim, algumas empresas dizem que não cogitaram terceirizar a segurança porque seu pessoal interno parece ser capaz de gerenciá-la suficientemente bem por conta própria.
"Terceirizamos grande parte da nossa empresa, mas se tem uma coisa que não precisamos terceirizar é a segurança", sustenta Greg May, chief technology officer da Paradigm Investment, que possui e opera mais de 90 restaurantes Hardee's no sul dos Estados Unidos.
Fonte:
Matéria retirada de Derwood.eti.br
http://www.derwood.eti.br/modules/news/article.php?storyid=24633
Escrito por NetworkWorld, EUA - http://www.networkworld.com
Páginas do artigo
1. Introdução2. Dados e conceitos
3. Conclusão
Outros artigos deste autor
Apache2 + PHP5 + MySQL + PhpMyAdmin + Webmin de forma simples e objetiva
Leitura recomendada
Proxy reverso com ModSecurity no Debian Etch
Intrusão simples com Metasploit
Instalação do Freeradius com suporte a EAP-TLS e PEAP-TTLS MSCHAPv2 no Ubuntu
Comentários
[1] Comentário enviado por kalib em 11/04/2008 - 11:07h
Parabéns pelo artigo cara...
É complicado falar em segurança quando se deixa informações de sua empresa com terceiros...
Claro..existe toda uma política de trabalho, ética..etc...
Porém acredito que ambos os cenários devem conviver perfeitamente juntos.
Por exemplo??
Tenho um serviço de correio.. acho válido deixar a questão da segurança e estrutura de nosso serviço de correio com terceiros...
Seria um exemplo de segurança terceirizada..
Porém por outro lado..eu não deixaria nunca minhas mídias de backup da empresa com dados de clientes por exemplo ou mesmo de projetos internos...Nunca deixaria tais informações com terceiros....
Acho que deve haver um equilíbrio como forma de perder o mínimo de tempo possível com tarefas desnecessárias podendo assim focar sua visão e força/trabalho em algo que realmente necessita de uma atenção maior. ;]
Parabéns pelo artigo cara...
É complicado falar em segurança quando se deixa informações de sua empresa com terceiros...
Claro..existe toda uma política de trabalho, ética..etc...
Porém acredito que ambos os cenários devem conviver perfeitamente juntos.
Por exemplo??
Tenho um serviço de correio.. acho válido deixar a questão da segurança e estrutura de nosso serviço de correio com terceiros...
Seria um exemplo de segurança terceirizada..
Porém por outro lado..eu não deixaria nunca minhas mídias de backup da empresa com dados de clientes por exemplo ou mesmo de projetos internos...Nunca deixaria tais informações com terceiros....
Acho que deve haver um equilíbrio como forma de perder o mínimo de tempo possível com tarefas desnecessárias podendo assim focar sua visão e força/trabalho em algo que realmente necessita de uma atenção maior. ;]
[2] Comentário enviado por y2h4ck em 11/04/2008 - 11:42h
Nenhuma empresa está apta a cuidar de sua própria segurança totalmente, afinal ... sempre existe aquele famoso "jeitinho" para fazer alguma gambiarra e colocar algo pra funcionar. É extremamente necessário que haja uma auditoria externa para apontar melhorias e necessidades, mas isso não quer dizer que vc vai dar seus dados secretos da empresa a eles, mas sim, atuar em conjunto para uma melhoria da segurança.
Nenhuma empresa está apta a cuidar de sua própria segurança totalmente, afinal ... sempre existe aquele famoso "jeitinho" para fazer alguma gambiarra e colocar algo pra funcionar. É extremamente necessário que haja uma auditoria externa para apontar melhorias e necessidades, mas isso não quer dizer que vc vai dar seus dados secretos da empresa a eles, mas sim, atuar em conjunto para uma melhoria da segurança.
[3] Comentário enviado por elgio em 11/04/2008 - 13:05h
Isto é muito, mas muito complicado!
É que sabe, eu não sei o que é pior, se os dados sigilosos ficarem nas mãos de uma empresa, que se for séria, fará de tudo para zelar pela sua imagem, ou se nas mãos de um funcionário talvez descontente!
Não pensem que todo administrador de rede que está na folha de pagamento é bonzinho! As vezes o perigo mora ao lado!
Tem muita, mas MUITA estória (e tantas outras que são segredo) de funcionário que ferrou a empresa porque soube que seria DEMITIDO!
Eu mesmo conheço uma de um que trocou todas as senhas de administrador de Windows e disse que só contaria se o acordo de recisão lhe fosse favorável!
Então...
Sei lá!!
Isto é muito, mas muito complicado!
É que sabe, eu não sei o que é pior, se os dados sigilosos ficarem nas mãos de uma empresa, que se for séria, fará de tudo para zelar pela sua imagem, ou se nas mãos de um funcionário talvez descontente!
Não pensem que todo administrador de rede que está na folha de pagamento é bonzinho! As vezes o perigo mora ao lado!
Tem muita, mas MUITA estória (e tantas outras que são segredo) de funcionário que ferrou a empresa porque soube que seria DEMITIDO!
Eu mesmo conheço uma de um que trocou todas as senhas de administrador de Windows e disse que só contaria se o acordo de recisão lhe fosse favorável!
Então...
Sei lá!!
[4] Comentário enviado por kalib em 11/04/2008 - 19:30h
É verdade...existe muito picareta na nossa área também..é claro...
A segurança deve ser bem estruturada e de forma sensata...
Não jogando pérolas aos porcos...
Um fato marcante é que na maioria dos casos de furtos de informações ou invasões em empresas....a culpa geralmente é interna..ou seja...de algum usuário insatisfeito ou mesmo mal informado com relação a segurança da informação..seja ela a nível técnico ou mesmo social.
Um grande vilão de todo administrador de redes é a boa e velha engenharia social... :/
fazer o que não é mesmo..
Não basta conhecer a linguagem das máquinas, mas também a linguagem dos seres humanos repletos de sentimentos variáveis...
um bom tópico para uma mesa redonda este, não?!
Quem diria que eu algum dia teria a sorte de poder trocar idéias sobre isso com nomes como elgio e y2h4ck.. hauhuha
grande honra para alguém que está começando a trilhar o caminho de segurança da informação.
[]´s
É verdade...existe muito picareta na nossa área também..é claro...
A segurança deve ser bem estruturada e de forma sensata...
Não jogando pérolas aos porcos...
Um fato marcante é que na maioria dos casos de furtos de informações ou invasões em empresas....a culpa geralmente é interna..ou seja...de algum usuário insatisfeito ou mesmo mal informado com relação a segurança da informação..seja ela a nível técnico ou mesmo social.
Um grande vilão de todo administrador de redes é a boa e velha engenharia social... :/
fazer o que não é mesmo..
Não basta conhecer a linguagem das máquinas, mas também a linguagem dos seres humanos repletos de sentimentos variáveis...
um bom tópico para uma mesa redonda este, não?!
Quem diria que eu algum dia teria a sorte de poder trocar idéias sobre isso com nomes como elgio e y2h4ck.. hauhuha
grande honra para alguém que está começando a trilhar o caminho de segurança da informação.
[]´s
[5] Comentário enviado por Gilmar_GNU/Slack em 12/04/2008 - 12:29h
Vou ser direto !
O problema dessas empresas em questão de tercerização é Redução de custos !
Mais e aquela coisa.
como o y2h4ck falou, nenhuma empresa está qualificada a ciudar da segurança de seus dados sigilosos.
E tem uma coisinha bem interessante que é realmente um fator importante. É o que o Kalib dise.
Existe muito picareta, mais eu prefiro chamar de Profissoinais incompetentes por ai , que não sabem realmente fazer um trabalho bem feito..
Outra coisa importante que eu preso , e muito !
O trabalho em equipe; que é algo muito importante ..
fabiobarby. Parabens pelo topico e que esse assunto realmente de ibope aqui no forum !
Vou ser direto !
O problema dessas empresas em questão de tercerização é Redução de custos !
Mais e aquela coisa.
como o y2h4ck falou, nenhuma empresa está qualificada a ciudar da segurança de seus dados sigilosos.
E tem uma coisinha bem interessante que é realmente um fator importante. É o que o Kalib dise.
Existe muito picareta, mais eu prefiro chamar de Profissoinais incompetentes por ai , que não sabem realmente fazer um trabalho bem feito..
Outra coisa importante que eu preso , e muito !
O trabalho em equipe; que é algo muito importante ..
fabiobarby. Parabens pelo topico e que esse assunto realmente de ibope aqui no forum !
[6] Comentário enviado por Teixeira em 12/04/2008 - 20:18h
O que sempre me preocupou com referência a "terceirização" de mão-de-obra é exatamente a qualidade e a confiabilidade dos serviços prestados por terceiros.
Percebe-se isso no magistério, na conservação e limpeza, na panificação, na saúde, etc. onde há pessoas competentes nos cargos-chave mas onde quem realmente exerce as atividades contratadas é um pessoal de conhecimento empírico, que foi treinado especificamente para determinada função.
Uma empresa terceirizada - de qualquer ramo - pode perfeitamente exercer de forma genérica a função para a qual foi contratada, MAS isso requer uma supervisão constante por parte de empresa contratante.
Aí o impasse: QUEM vai exercer tal supervisão? Precisa ser alguém com conhecimento, experiência, e de confiança.
Dá para demitir o pessoal da segurança?
Sim, mas somente a "peãozada".
Funcionários-chave realmente competentes, em especial nessa área, devem trabalhar felizes.
E na maioria das vezes o corte na folha de pagamento não se traduz necessariamente em economia.
Na antiga fábrica de televisores norte-americana Emerson, onde todos os funcionários trabalhavam de forma quase exagerada, havia um departamento onde ficavam seis homens sem fazer nada, e brincando com móbiles que ficavam pendurados no teto.
Esses homens eram pagos para ter idéias, mas isso não acontecia com muita freqüência.
De repente, alguém naquela sala "dava um estalo" e inventava uma forma de economizar dois parafusos em cada televisor.
Pronto: o salário de todo o departamento estava justificado, e ainda sobrava bastante lucro para a empresa.
Portanto, o lucro ou a estabilidade de uma empresa nem sempre é visível ou podem ser mensurados através de números.
Existem certamente muitos outros fatores envolvidos.
O que sempre me preocupou com referência a "terceirização" de mão-de-obra é exatamente a qualidade e a confiabilidade dos serviços prestados por terceiros.
Percebe-se isso no magistério, na conservação e limpeza, na panificação, na saúde, etc. onde há pessoas competentes nos cargos-chave mas onde quem realmente exerce as atividades contratadas é um pessoal de conhecimento empírico, que foi treinado especificamente para determinada função.
Uma empresa terceirizada - de qualquer ramo - pode perfeitamente exercer de forma genérica a função para a qual foi contratada, MAS isso requer uma supervisão constante por parte de empresa contratante.
Aí o impasse: QUEM vai exercer tal supervisão? Precisa ser alguém com conhecimento, experiência, e de confiança.
Dá para demitir o pessoal da segurança?
Sim, mas somente a "peãozada".
Funcionários-chave realmente competentes, em especial nessa área, devem trabalhar felizes.
E na maioria das vezes o corte na folha de pagamento não se traduz necessariamente em economia.
Na antiga fábrica de televisores norte-americana Emerson, onde todos os funcionários trabalhavam de forma quase exagerada, havia um departamento onde ficavam seis homens sem fazer nada, e brincando com móbiles que ficavam pendurados no teto.
Esses homens eram pagos para ter idéias, mas isso não acontecia com muita freqüência.
De repente, alguém naquela sala "dava um estalo" e inventava uma forma de economizar dois parafusos em cada televisor.
Pronto: o salário de todo o departamento estava justificado, e ainda sobrava bastante lucro para a empresa.
Portanto, o lucro ou a estabilidade de uma empresa nem sempre é visível ou podem ser mensurados através de números.
Existem certamente muitos outros fatores envolvidos.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
E a guerra contra bots continua
Tradução do artigo do filósofo Gottfried Wilhelm Leibniz sobre o sistema binário
Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).
Dicas
Instalando o FreeOffice no LMDE 6
Anki: Remover Tags de Estilo HTML de Todas as Cartas
Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE
Tópicos
Não consigo acessar os modos de desempenho (5)
Alguém pode me ajudar porfavor como executar comandos ao iniciar no i3... (2)
Debian Bookworm para a versão beta Debian 13 Trixie (2)
Como adicionar módulo de saúde da bateria dos notebooks Acer ao kernel... (21)
Top 10 do mês
-
Xerxes
1° lugar - 70.109 pts -
Fábio Berbert de Paula
2° lugar - 57.006 pts -
Clodoaldo Santos
3° lugar - 42.824 pts -
Buckminster
4° lugar - 23.664 pts -
Sidnei Serra
5° lugar - 23.291 pts -
Daniel Lara Souza
6° lugar - 17.359 pts -
Mauricio Ferrari
7° lugar - 17.039 pts -
Alberto Federman Neto.
8° lugar - 16.991 pts -
Diego Mendes Rodrigues
9° lugar - 15.646 pts -
edps
10° lugar - 14.302 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
