noticias.jpg

7 motivos para optar por serviços gerenciados de segurança

Por volta do ano 2000, o mundo conheceu uma nova forma de fazer segurança. Naquela época, as únicas opções de solução que o mercado oferecia eram consultorias pontuais, projetos com início e fim bem determinados, visando identificar e/ou corrigir problemas de segurança da informação, e fornecimento de hardware e software, as chamadas tecnologias de segurança.

Foi quando, nos EUA, o modelo chamado MSS – Managed Security Services (Serviços Gerenciados de Segurança) começou a tomar forma e ser, de fato, utilizado pelas empresas. Neste modelo, ao invés de tratar a segurança com soluções pontuais (consultorias) ou com foco exclusivo em produtos (hardware e software), o fornecedor de MSS (MSSP) vende segurança contínua, focada em resultados. Ao invés de vender um antivírus, por exemplo, o MSSP vende uma rede livre de vírus. No lugar do Firewall, do IPS, vende uma rede livre de invasões. E assim sucessivamente, para todas as verticais de soluções existentes. Tudo isso baseado em SLAs pré-definidos, em acordo com o cliente final, de acordo com as necessidades deste e as possibilidades daquele.

De lá pra cá vimos este mercado crescer sem parar. Os resultados apareceram, os custos diminuíram. O ROI da segurança foi demonstrado, finalmente. E a cada ano, mais e mais empresas, de todos os segmentos, estão adotando o modelo. Vamos estudar os motivos.

1. Segurança é um problema contínuo

Interessante o primeiro grande motivo, pois é tão óbvio quanto não executado. Há 15-20 anos os profissionais mais especializados em segurança da informação concordam que segurança é como uma doença sem cura: não há possibilidade de dar um remédio e resolver o problema, temos que conviver da melhor forma com ela. Mas, ao mesmo tempo, vemos grandes projetos, com importantes volumes financeiros envolvidos, que têm como objeto uma solução pontual. Qual o resultado? Os problemas permanecem! Aí é que o MSS ganha espaço, ou por bem, através do conhecimento e da concordância com o modelo, ou por mal, quando as empresas obtêm resultados abaixo das expectativas com os modelos tradicionais.

MSS resolve, continuamente, a problemática de segurança lógica, porque entrega resultados efetivos dia após dia, tratando dos ataques no momento em que eles acontecem, mitigando riscos e eliminando vulnerabilidades no momento em que surgem.

2. As tecnologias não resolvem tudo sozinhas

São pessoas que estão do lado inimigo. As empresas precisam de pessoas para se proteger. As tecnologias, hoje, alcançaram um nível de desenvolvimento absolutamente impressionante, com recursos avançados, inclusive de autoaprendizado. E, por isso, ter uma boa tecnologia de segurança é fundamental. Mas não é o suficiente. Vivemos num mundo conectado, onde precisamos abrir portas para interagir com ele. É necessário saber abrir estas portas, entender como elas funcionam, e as boas tecnologias apenas disponibilizam todos os recursos para fazermos as coisas da forma correta, da forma segura, mas precisamos de pessoas para executar tais tarefas.

3. Contratar e manter bons profissionais de segurança é assunto para empresas de segurança

Vamos olhar apenas para o Brasil e somar todos os bons profissionais de segurança que possuímos e comparar somente com a demanda por eles nas 500 maiores empresas do paísl e nos governos federal e estatual. Matematicamente já seria impossível cada empresa, pública ou privada, ter a sua equipe. Aprofundando mais um pouco, e tratando no problema, por hora, somente na esfera pública, existe mais uma questão: o mercado paga bem mais por este profissional do que o governo, por força de lei, pode pagar. E na esfera privada, isso também não se aplica? Sim, exceto que a força é outra, de mercado. Então a conclusão é simples: quando você tem um bom profissional de segurança, você vai perdê-lo para o mercado. Essa é a regra.

Agora vamos considerar uma situação hipotética: temos profissionais suficientes no mercado e sua empresa, pública ou privada, pode pagar por ele. As perguntas, então, seriam outras: vale a pena a sua empresa, de varejo, de fabricação de aço, montadora de carro, exploradora de petróleo, ou coisa parecida, ser especializada, também, em matéria de tão alta complexidade como é segurança da informação? O retorno sobre o investimento é válido? E comparado com comprar isso pronto no mercado? E a sua empresa vai continuar mantendo motivados esses profissionais? E atualizados? É uma conta que, costumeiramente, não fecha.

4. Por mais que você queira, a amostragem da sua empresa vai ser sempre menor do que a de um MSSP

Qual é o objetivo da função segurança em qualquer ambiente? Os ativos sempre existirão. As ameaças também. Idem para os riscos. A meta então é atacar as vulnerabilidades, as falhas existentes na segurança do seu ambiente. E o tempo é elemento precioso: devemos eliminar as vulnerabilidades antes que uma ameaça tente explorá-la! Em outras palavras, precisamos de pró-atividade. E como ser proativo num mundo onde surgem cerca de 5.000 novas vulnerabilidades por ano (mais de 10 por dia), que são multiplicadas várias vezes pela quantidade de ativos do seu ambiente? O modelo MSS é o que mais vezes consegue essa façanha, não por utilizar qualquer tecnologia ou fórmula mágica, mas simplesmente por cuidar da segurança de forma ininterrupta, 24 horas por dia. E o que dizer do seu projeto de consultoria que finalizou no mês passado?

5. Comprar tecnologia de segurança é coisa do passado

Talvez a única justificativa, atualmente, para comprar ativos de segurança lógica, é ter mais orçamento de investimento (CAPEX) do que de despesa (OPEX). Ou seja, um motivo que está fora do mundo dos porquês da segurança. Nenhuma empresa precisa ser proprietária da sua licença de antivírus, ou do seu firewall. As empresas precisam somente estar livres de problemas de segurança. E conseguem muito menos atingir esse objetivo se comprarem produtos, pois eles, muito comumente, são altamente perecíveis e, como já se pagou por eles, as empresas se veem obrigadas a utilizá-los até o vencimento do contrato. Erro grave. Comprar resultado é muito mais barato, simples, racional e inteligente do que comprar produto. E é isso que os MSSPs fazem.

6. O conhecimento para gerir segurança não se adquire do dia pra noite

Um estudo desenvolvido pela empresa Service Leadership, Inc., nos EUA, revelou que são necessários 36 meses de operação ininterrupta para alcançar excelência em serviços gerenciados, ou seja, se sua empresa quer resolver o problema sozinha, o prazo mínimo para começar a dar o resultado esperado são 3 anos. Se tudo der certo, pois crises mundiais, mudanças na gestão, alto turnover, são pedras enormes no meio do caminho, as quais, via de regra, colocam o projeto de lado, voltando à estaca zero em termos de evolução, sem falar na quantidade enorme de dinheiro mal investido.

7. O último e mais importante: é mais barato comprar MSS

Todos os estudos revelam que a conta, ao final, é menor na contratação de um MSSP. E existem motivos de sobra pra isso: (1) os gastos com licenças, hardware e software são significativamente menores, pois o MSSP compra em volume; (2) os pagamentos são mensais, porque os MSSPs pagam assim para os seus fornecedores (e você não conseguiria, a menos que pagasse pesados juros de financiamento); (3) os serviços são prestados em escala, pois os profissionais do SOC executam as tarefas no regime compartilhado – a economia é enorme; (4) o MSSP já possui todas as facilities necessárias, tais como SOC, datacenter, sistemas, etc., que custariam muito para cada empresa ter as suas; (5) os processos já estão todos desenhados, conferindo mais agilidade e eficiência às tarefas executadas. Além disso, num bom contrato para prestação de serviços MSS, você paga somente o que você recebe!

*Rogério Reis é blogueiro da CRN Brasil

Share