O volume de terceirização de ambientes de TI e processos de negócios mostram a tendência atual de redução de custos internos com tecnologia. Sem dúvida, essa tendência demonstra o sucesso das empresas que prestam os serviços de hosting, co-location, BPO (Business process outsourcing), etc.
Nesse processo é fundamental avaliar os riscos inerentes de segurança da informação. A partir do momento que os ativos, os sistemas e os dados serão gerenciados ou hospedados por um terceiro, deve-se prever quais são os controles exigidos para a migração e os indicadores que serão acompanhados ao longo do tempo. De preferência, esses indicadores devem estar relacionados com parâmetros financeiros com o objetivo de serem efetivamente acompanhados por ambas as partes.
Supondo que o processo seja planejado adequadamente, o próximo desafio é: como assegurar que os valores informados nos relatórios gerenciais mensais representam a realidade do ambiente? Neste sentido, é recomendável que a empresa que está terceirizando um processo ou parte de sua TI, estabeleça processos internos e ferramentas para dispor de relatórios próprios que possam ser confrontados com aqueles recebidos pelo prestador de serviço e, regularmente, façam reuniões de alinhamento dos resultados e refinamento dos indicadores definidos.
Também devem ser estabelecidos processos de auditorias específicas sobre os controles de segurança. Estas auditorias têm por objetivo verificar que os processos que não são mensuráveis ou acompanhados pelos indicadores também sejam monitorados de alguma forma. Nesta classe, estão os logs de segurança, a aplicação de correções (patches) de sistemas operacionais, bancos de dados, aplicativos, etc. Outra preocupação diz respeito ao backup dos servidores e dados, assim como o armazenamento e gerenciamento das mídias.
A avaliação interna do prestador de serviço também permite avaliar a estrutura interna de pessoas, os controles de acesso para terceiros de manutenção a segregação de ambientes físicos, lógicos e de pessoal entre empresas concorrentes, entre outros.
Finalizando, a terceirização de processos e ambientes de TI deve passar uma análise de riscos criteriosa com o objetivo de subsidiar a equipe jurídica responsável pelo estabelecimento dos contratos e SLA, assim como o estabelecimento de processos e ferramentas de gestão sobre o terceiro que será parte crítica dos negócios da companhia partir do dia da migração.
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário