Terceirização
da área de TI e Segurança de Informações
|
 |
| |
Talvez você já tenha lido este
artigo,
que recebeu muita atenção nas últimas
semanas. Uma empresa norte-americana anunciou no início
do mês que um membro de seu departamento de pesquisa
e desenvolvimento na Índia roubou partes do
código-fonte e documentos de projetos confidenciais
referentes a um de seus principais produtos. Como conseqüência,
a empresa paralisou todas as atividades de desenvolvimento
daquele departamento.
Como profissional de segurança de informações,
digo que esse evento me chamou a atenção
por vários motivos. Contudo, ultimamente, o
caso vem me fazendo pensar nos tipos de risco que assumimos
quando cedemos o controle de sistemas corporativos
importantes a terceiros. Neste artigo, quero abordar
alguns dos problemas de segurança que devem
ser antecipadamente considerados pelas instituições
financeiras que decidem pela terceirização.
A terceirização
ganha ímpeto
É sabido que a maioria das instituições
financeiras globais já terceiriza algumas
partes de sua área de TI para locais além
de suas fronteiras, muitas delas para fornecedores
estrangeiros especializados (“offshore”).
Além disso, várias grandes empresas
hoje hospedam e operam seus próprios escritórios "particulares" em
países como Índia ou China. Embora
a terceirização tenha surgido como
uma das questões mais controversas da nossa
sociedade, pesquisas recentes indicam que a prática
só tende a aumentar. De fato, a empresa de
pesquisa e consultoria TowerGroup estima que as 15
maiores instituições financeiras do
mundo aumentarão, anualmente, em 34% suas
despesas de TI com empresas terceirizadas estrangeiras,
o que representa um aumento de US$1,6 bilhão
em 2004 para US$3,89 bilhões em 2008.
No entanto, posso afirmar que esse aumento na terceirização
não vem acompanhado de um crescimento equivalente
na preocupação com a segurança.
Como observou Rich Mogull, diretor de pesquisa de
segurança e riscos de informações
da Gartner Inc., “caveat emptor” (comprador
cauteloso) deve ser o princípio orientador
quando o assunto é a proteção
de operações de TI terceirizadas. E
acrescentaria: avise bem o comprador principalmente
antes do contrato ser assinado. São inúmeras
as histórias de terror envolvendo instituições
financeiras que avaliaram mal o ambiente de controle
de seus provedores de serviços. A lição
a qual espero que tenha sido aprendida com essas
tragédias é a seguinte: as instituições
financeiras e seus provedores de serviços
devem alcançar um consenso expresso em relação à segurança
e incluir essa avença no contrato.
E não digam que sou o único a pensar
assim. Sobre esse assunto, a Lei Gramm-Leach-Bliley
dos EUA, na seção sobre padrões
e diretrizes de proteção de dados do
consumidor (“Interagency Guidelines Establishing
Standards for Safeguarding Customer Information”), é muito
clara:
“Divulgar informações à pessoa
física ou jurídica que fornece serviços
a uma instituição financeira cria riscos
adicionais à segurança ou à confidencialidade
das informações divulgadas. A fim de
oferecer proteção contra esses riscos,
a instituição financeira deve adotar
as medidas adequadas para salvaguardar as informações
que entregar ao provedor de serviços, independentemente
de quem seja o provedor e de como ele obterá acesso às
referidas informações".
Sei que hoje algumas instituições
trabalham sob a crença de que um acordo de
terceirização apoiado sobre um robusto
Contrato de Nível de Serviço coloca
uma pedra sobre suas preocupações.
Idéia errada. É cada vez mais freqüente
vermos órgãos regulamentares de serviços
financeiros dizerem "é possível
terceirizar a função, mas não
a responsabilidade gerencial", independente
do teor do Contrato.
Escolhendo um provedor de serviços
Então, se a segurança não é algo
que possa ser relegado a um SLA (Service Level
Agreement, Contrato de Nível de Serviço),
o que as instituições financeiras
precisam fazer para assegurar que o provedor de
serviços implemente um conjunto sólido
de controles de segurança? A resposta rápida
será: é preciso fazer o dever de
casa.
Felizmente, há muitos bons trabalhos sendo
desenvolvidos nessa área, e todas as instituições
financeiras lucrariam ao levá-los em consideração.
Por exemplo, no início deste ano, a Banking
Industry Technology Secretariat (BITS), associação
americana de bancos que desenvolve políticas
tecnológicas para o setor, publicou um documento
de diretrizes a ser usado na avaliação
dos riscos de segurança de contratos de
terceirização de TI. As diretrizes
se baseiam no código ISO 17799 de práticas
de gerenciamento de segurança de informações,
que cobre categorias como documentação
de políticas corporativas de segurança
e classificação de bens. As instruções
também incluem práticas recomendadas
de membros da BITS e dados informados por provedores, órgãos
governamentais e auditores de TI externos. Incorporadas
em uma planilha de 33 páginas, as diretrizes
incluem itens a serem pesquisados junto aos provedores
de serviços de TI externos durante cada
etapa do processo de terceirização,
incluindo assuntos como gerenciamento de riscos,
planejamento, teste e regulamentação
(a BITS divulgou as diretrizes de segurança
na forma de adendo a uma estrutura existente de
gerenciamento de relacionamentos comerciais com
provedores de serviços de TI).
A Gartner também realizou análises
profundas para chegar aos assuntos essenciais a
serem pesquisados antes da contratação
de qualquer provedor de serviços. Veja abaixo
alguns exemplos (tirados do relatório “Critical
Security Questions to Ask an ASP”):
- Camada de Rede: O provedor de serviços
exige o uso de autenticação de dois
fatores para controle administrativo de todos os
roteadores e firewalls? O provedor de serviços
aceita criptografia de 128 bits e autenticação
de dois fatores para a conexão entre a LAN
do cliente e seu backbone de produção?
O provedor oferece serviços de redundância
e balanceamento de carga para firewalls e outros
elementos fundamentais à segurança?
- Plataforma: O provedor tem condições
de fornecer uma política documentada de
alta segurança do sistema operacional em
servidores da Web e outros servidores? Caso coloque
aplicativos do cliente em servidores físicos,
o provedor possui controles documentados usados
para assegurar a separação de dados
e informações de segurança
entre os aplicativos do cliente?
- Aplicativos: Como o provedor revisa a segurança
de scripts e códigos de integração
adicionados aos aplicativos comerciais que oferece?
O provedor disponibiliza serviços de detecção
de intrusões baseados em aplicativos ou
em transações?
- Operações: O provedor investiga
os antecedentes do pessoal que terá acesso
administrativo aos servidores e aplicativos? O
provedor tem condições de apresentar
um processo documentado de avaliação
de alertas de segurança de provedores de
SO e aplicativos, e de instalação
de correções de segurança
e pacotes de serviços?
Às perguntas e diretrizes acima, acrescento
ainda um conselho pessoal: assegure-se de que o
parceiro provedor de serviços selecionado
se comporte como uma instituição
financeira. Um tanto paradoxal, não parece?
Mas se você pensar bem, faz muito sentido.
Na verdade, no ambiente amplamente regulamentado
de hoje, não devemos esperar menos que isso.
Ao procurar um fornecedor de serviços, prefira
aquele que adota os mesmos padrões de segurança
da sua instituição. Escolha aquele
que superou a curva de aprendizado, por assim dizer.
Resumindo, procure um provedor que não apare
arestas de segurança como estratégia
de economia de custos.
Conclusão
Não é nenhuma surpresa a força
que a terceirização vem ganhando. A economia
global atual praticamente exige isso. Porém,
ao confiar um número cada vez maior de operações
de TI a provedores de serviços, as instituições
financeiras precisam estar cada vez mais vigilantes
em relação à segurança.
Qualquer tipo de displicência certamente atrairá a
rápida atenção dos órgãos
regulamentares.
Afinal de contas, não há motivo para
permitir que a segurança da TI terceirizada
tenha um grau de rigidez menor que o aplicado aos
sistemas internos. No entanto, garantir essa austeridade
exige tempo, esforço e dinheiro.
Links Relacionados:
|
