Blog - Implementação De Soluções De Segurança Da Informação Em Pmes

14/06/2023

Implementação de soluções de segurança da informação em PMEs

Os prós e contras de diferentes abordagens para implantar e manter sistemas de segurança da informação.

Ao implantar e manter sistemas de segurança da informação corporativa, é simples bom senso envolver profissionais no processo. Esses especialistas podem ser internos ou externos — provedores de serviços ou desenvolvedores da solução escolhida. Cada uma dessas abordagens tem seus prós e contras. Afinal, implantar um sistema de segurança da informação para uma empresa é um processo bastante complicado, que, além da instalação do software em si, inclui as seguintes fases preparatórias e operacionais:

  1. Análise dos riscos de segurança da informação – para identificar aspectos vulneráveis, avaliar a probabilidade de ameaças e compilar uma lista de medidas para mitigação
  2. Desenvolvimento de políticas de segurança para regular o acesso à informação e garantir proteção e integridade
  3. Seleção e implementação da solução
  4. Auditoria periódica da solução para garantir que ela seja eficaz e esteja em conformidade com os requisitos atuais
  5. Respostas a incidentes

Uma grande empresa terá um departamento de segurança da informação para lidar com essas tarefas. Mas as companhias de pequeno e médio porte enfrentam a escolha de tentar implantar um sistema de segurança internamente ou contratar por meio de terceiros.

Implementação interna

“Interno” nesse sentido significa um funcionário (ou departamento) dedicado com experiência em segurança da informação. A empresa pode tentar encontrar essa pessoa no mercado ou treinar por conta própria. Os prós e contras dessa abordagem são:

+ A empresa controla o processo de formação, pode adaptar esse processo às necessidades particulares da corporação ou encontrar uma pessoa com as competências necessárias

+ Um colaborador conhece melhor os processos internos da empresa, podendo oferecer soluções mais eficazes e assertivas

+ Um funcionário poderá responder mais rapidamente a ameaças e problemas

+ Os segredos da empresa estarão menos suscetíveis a cair em mãos erradas

+ Pode ser mais econômico do que contratar especialistas externos, especialmente se o funcionário já fizer parte da equipe

+ O treinamento elevará o status profissional do colaborador, o que poderá aumentar sua fidelização

– O treinamento levará muito tempo

– Pode ser mais caro contratar um especialista pronto do que terceirizar, mas também levará muito tempo

– Um funcionário treinado provavelmente conhecerá menos a área de assunto do que um profissional experiente em segurança da informação

– Não há garantia de que tal know-how de implementação será útil no futuro; isso é especialmente verdadeiro se um funcionário dedicado receber a tarefa – o que ele fará após a implantação?

– Um colaborador alocado neste projeto pode deixar a empresa, assim a empresa vai ter que substituí-lo ou realizar contratações para manter a solução

Essa abordagem é relevante para empresas que estão crescendo ou planejando expandir, pois estabelecerá as bases para o futuro do departamento de segurança da informação. No entanto, se não houver tais planos, ou se o crescimento não se traduzir em desenvolvimento de infraestrutura, não adianta investir em capacitação de novas habilidades para os profissionais.

Implementação por meio de terceiros

O mercado está repleto de prestadores de serviços que oferecem múltiplas soluções, como auditoria de infraestrutura; Implantação e manutenção de sistemas de segurança de TI. Prós e contras:

+ Economiza tempo: não há necessidade de treinar ou contratar ninguém

+ É provável que um contratado especializado tenha conhecimento e experiência na área de segurança da informação

+ A terceirização pode oferecer uma ampla gama de serviços que vão além das capacidades dos recursos internos

+ Uso mais eficiente de recursos próprios — todas as preocupações com a implementação são terceirizadas

+ Menos riscos, além da possibilidade de transferi-los ao contratar alguém especializado

– Um contratado pode não entender os processos internos de negócios, levando a soluções mal adaptadas

– Problemas de confidencialidade podem surgir, pois um profissional terceirizado terá acesso aos seus dados, mas você não tem como garantir a conscientização sobre as políticas internas de segurança do prestador de serviço

– Você não terá um entendimento completo do que está acontecendo, com menor capacidade de controlar os negócios diante do processo de implementação e suporte

No geral, contratar um terceiro é uma forma sensata e comum de implantar um sistema de segurança da informação. Normalmente, esses fornecedores de serviços cooperam com desenvolvedores de soluções, são certificados, têm status de parceiro e fornecem garantias.

Nós da Vertic Tecnologia oferecemos suporte técnico em todas as fases do processo de auditoria de segurança, com nossa própria solução de pacote para implementação das ferramentas de segurança da informação dos produtos Kaspersky. Inclui uma ampla gama de serviços: análise de infraestrutura e políticas existentes; desenvolvimento de políticas e eliminação de vulnerabilidades; implementação e atualização de soluções; suporte; criptografia para armazenamento de dados. Nosso pacote de soluções é perfeito para os pequenos e médios negócios, pois diminuirá as atribuições do departamento de TI ou até mesmo eliminará a necessidade de um administrador de sistema em tempo integral.