Terceirizando o risco e a gestão da segurança da informação

Quando se fala em tratamento de riscos, uma das possibilidades é a de terceirização, isto é fazer um seguro (o exemplo mais clássico da terceirização de riscos) sobre determinado processo ou ativo cujo risco seja maior do que o nível aceitável, porém com controles compensatórios mais caros do que a contratação do tal seguro.

Um dos processos mais críticos para as empresas é a gestão da segurança da informação. Muitas vezes nascida e mantida dentro da área de TI em virtude dos executivos entenderem que Segurança da Informação é o mesmo que Segurança de TI, esse processo é carregado de responsabilidades que podem envolver desde a gestão dos controles de segurança até questões envolvendo perícias e análise de artefatos e desdobramentos legais. Normalmente a gestão de segurança da informação é considerada pela literatura como sendo uma área cujo reporte deveria ser feito diretamente à presidência da companhia ou a uma diretoria específica e que, por isso, estaria numa situação de topo de pirâmide na organização.

Recentemente acompanhei uma discussão sobre a possibilidade de se terceirizar essa área, fazendo-se o uso de consultoria em substituição de uma equipe interna e formada exclusiva ou predominantemente por profissionais internos. O tema levantado era bem direto: deveria ou não ser possível a terceirização da gestão de segurança da informação?

Como consultor já tive experiências sendo terceirizado com essa finalidade, bem como já tive a oportunidade também de trabalhar em uma empresa cuja área de segurança da informação era total e exclusivamente interna à empresa. E a conclusão à que chego para essa situação é: “depende”. Ambas as possibilidades são válidas (e amplamente praticadas), mas cada caso continuará sendo um caso. Mas para evitar o impasse de opinião desse artigo, vamos tentar abordar os prós e contras de cada possibilidade.

Terceirizado

Assim como no início desse artigo, deve-se manter em mente que a terceirização de qualquer atividade envolve a aceitação dos riscos das coisas não irem exatamente como o esperado ou planejado. Em se tratando da área de gestão de segurança da informação, e de todos os detalhes estratégicos envolvidos, a terceirização pode ser considerada em alguns casos como, por exemplo:

  • start up da área: A empresa pode não ter estrutura de pessoal para fazer o início das atividades ou mesmo alguma outra deficiência como falta de conhecimento e cultura interna, mas por outro lado por uma questão regultória ou de direcionamento de mercado a empresa deve apresentar em um curto espaço de tempo atividades de SI. E não são raras as empresas que têm essas prerrogativas. A questão é que depois de um tempo agindo, o provisório acaba assumido (muitas vezes) a característica de “provinitivo” (provisório que se tornou definitivo). É necessário um direcionamento estratégico que permita a alta cúpula questionar sobre a internalização ou não.
  • carência de mão de obra: É o que acontece nos casos em que a empresa precisa de uma equipe mais estruturada, mas não busca (ou não consegue buscar) mão de obra especializada no mercado para contratação. Para esse cenário o mais comum é ter um gestor da empresa ao qual a equipe terceirizada se reporte e de quem venham as instruções, determinações, diretrizes e tudo mais relacionado ao direcionamento da área. Especificamente nesse caso, o gestor assume uma posição de altíssimo risco visto que ele é o responsável por todas as atividades da equipe de gestão de segurança, mas os resultados são dependentes diretamente do quão capacitada e comprometida essa equipe estará com a organização. E considerando que a gestão de segurança da informação é uma atividade estratégica, o conhecimento do negócio por parte dos integrantes da área é de extrema importância e representa a tênue diferença entre o sucesso e o fracasso desa equipe. E como se não bastasse, o risco do gestor é potencializado justamente pelo fato de ser inviável a rotação da equipe visto que a curva de aprendizado sobre o negócio e os processos internos tem um crescimento muitas vezes suave.
  • Política da terceirização: pode parecer estranho e um tanto que arriscado de mais, mas há empresas que optam pela terceirização ao máximo que puder. E ok se isso fizer parte da estratégia escolhida pela gestão, mas quando é essa a escolha, espera-se que hajam controles que cuidem com certo apreço dos contratos, SLAs, questões trabalhistas e todos os outros possíveis desdobramentos. A empresa que opta pela terceirização como base de sua gestão tem na verdade outro fator que os onera subjetivamente que é a questão da retenção do conhecimento e criação/manutenção de uma cultura própria. Mas por outro lado, os benefícios de não ter os custos trabalhistas e de impostos pela quantidade de funcionários, a possibilidade de ser capaz de trocar de equipe através da simples troca de fornecedor e o benefício de poder ter em sua operação o know-how de outras empresas do mesmo setor agregando valor em seu cotidiano podem acabar por assumirem um peso grande na balança das decisões.

Internalizando

Ao contrário do que se tem nos cenários de terceirização, manter a área de Segurança da Informação internalizada, composta exclusivamente popr funcionários tem a vantagem que todos conhecerão vivenciarão os valores da empresa. Por mais que se leve um tempo até que a equipe esteja enganjada, inevitavelmente será uma área com o DNA da empresa. Isso obviamente tem seu lado positivo, visto que não haverá espaço para o ranço de outras empresas e ainda, por serem funcionários assim como todos os outros profissionais de outras áreas, a integração entre a equipe de segurança da informação e as demais equipes (RH, financeiro e comunicação, por exemplo) tende a ser melhor e mais natural. Afinal, os profissionais estariam juntos em eventos de integração, festas de final de ano, torneios de futebol, o choppinho de sexta e tudo mais que pessoas que compartilham o mesmo empregador costumam fazer. Além disso, atividades mais duradouras como planos de comunicação e conscientização, revisões de análises de risco e PCNs, auditorias internas e tudo mais que leve tempo e ocorra em ciclos seriam melhor aproveitados visto que o histórico e o conhecimento se manteria dentro das paredes da empresa.

Mas nem tudo pode ser tão positivo assim. Normalmente, e note que eu disse normalmente, equipes formadas por funcionários da empresa concorrem com outras áreas em pontos comuns à toda a empresa. É o caso de orçamento, calendários, hierarquias, ordem de seja lá o que for… Isso acaba dificultando que haja disponibilidade de recursos para manter essa equipe atualizada e circulante nos meios. Não que seja impossível, mas como é da natureza de todo bom funcionário (salvo raras exceções), ele acredita que todo investimento em sua melhoria como profissional deve ser provida, facilitada ou mesmo bancada pelo seu empregador. Normal em nossa sociedade de origem patriarcal, mas ainda assim não é difícil ver alguns que entendem que esses esforços beneficiam muito mais o próprio profissional em si do que a empresa.

Acrescente-se a isso, o fato de que não é comum o intercâmbio de funcionários entre empresas. Ao menos nunca ouvi falar de tal coisa acontecer por aqui. Você conseguiria imaginar um funcionário da Apple indo fazer um intercâmbio com um empregado da Microsoft? Soa tão estranho quanto improvável. Não que fosse esperado tal intercâmbio, mas em se tratando de consultorias externas, já torna-se mais possível encontrar consultores que tenham trabalhado em projetos mesmo semelhantes em empresas clientes que fossem concorentes entre si. Sob os olhos da consultoria, isso é bem normal e praticado visto que podem haver processos e objetivos semelhantes entre as concorrentes, o que reduz o tempo de aprendizado e de atendimento.

Por isso é que normalmente (e, de novo, atenção ao “normalmente”) equipes formadas exclusivamente por funcionários podem apresentar alguma defasagem de experiência. Não que isso seja tão prejudicial assim, mas ao menos os riscos de descontinuidade e de vazamento de informações acabam sendo reduzidos.

Então, qual é a melhor escolha: terceirizar ou não os riscos e/ou alguma área? Encerro deixando essa pergunta propositalmente sem uma resposa definitiva porque, como dito anteriormente, cada caso será um caso. Se a duvida persistir, pode me escrever que tento ajudar.