APOSTILA

Symantec Enterprise Security E

Gerenciando a Segurana Corporativa

Consideraes sobre os servios de gerenciamento de segurana interno versus gerenciamento de segurana terceirizado

INSIDE
INSIDE
Analisando os custos do gerenciamento de segurana Considerando as opes de gerenciamento Benefcios dos servios de gerenciamento de segurana Selecionando um provedor de servios de gerenciamento de segurana

Symantec MANAGING ENTERPRISE SECURITY

Contedo
Resumo executivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Desafios no ambiente de negcios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Analisando os custos do gerenciamento de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Equipamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Pessoal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Instalaes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Considerando as opes de gerenciamento de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Comparando o gerenciamento de segurana interno com o gerenciamento terceirizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Exemplo: custo do gerenciamento de segurana internamente versus terceirizao 9 Benefcios dos servios de gerenciamento de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Selecionando um provedor de servios de gerenciamento de segurana . . . . . . . . . . . . . . . . . . 12 Anlise de fornecedores mantendo o controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Variedade de ofertas de servios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Suporte organizacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Perfil recomendado de um MSSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Concluso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Referncias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Symantec MANAGING ENTERPRISE SECURITY

Resumo executivo
A segurana um componente integrante e necessrio dos negcios atuais, principalmente devido expanso da Internet e dos grandes Es: e-business, e-commerce e e-retailing. A segurana nunca foi to importante para a sobrevivncia de uma empresa, suas vantagens competitivas e a habilidade de manter o valor de seus investimentos. Portanto, um programa de segurana efetivo no envolve apenas dispositivos e tecnologias de segurana, mas incorpora tambm indivduos e processos. Ao mesmo tempo, as empresas enfrentam vrias barreiras para atingir e manter um programa de segurana efetivo. Essas barreiras incluem: Carncia de profissionais de segurana qualificados e experientes Carncia de recursos e infra-estruturas para suportar programas de segurana que funcionem 24 horas por dia, 7 dias por semana Aumento da complexidade na tecnologia de segurana Carncia de treinamento formal Falta de tempo para se concentrar no gerenciamento de segurana persistente e em tarefas operacionais Como resultado, vrias empresas que gerenciam a segurana internamente esto buscando alternativas para superar essas barreiras. necessrio encontrar uma maneira de manter uma postura de segurana forte, com foco nas funes principais de e-business, geradoras de receita. A terceirizao das tarefas de segurana, assim como a terceirizao da tecnologia da informao e da segurana fsica de uma empresa, tem se tornado uma opo atraente. De acordo com a Gartner Dataquest, os servios de segurana gerenciados, definidos como gerenciamento e monitorao terceirizada dos sistemas de segurana, representam o segmento que vem crescendo mais rapidamente no mercado de servios de segurana de informaes. "Provedores de Servios de gerenciamento de segurana (MSSPs, Managed Security Services Providers) utilizam centros de operaes de segurana de alta disponibilidade (tanto de suas prprias instalaes como de centros de dados dos provedores) para suportar servios 24 horas criados para reduzir o nmero de funcionrios de segurana operacional que a empresa necessita contratar, treinar e reter para manter uma postura de segurana aceitvel." i Por isso, para muitas empresa, duas alternativas surgiram: gerenciamento interno de segurana ou gerenciamento terceirizado de segurana, total ou em parte. A questo que muitas empresas enfrentam quando decidem terceirizar : possvel efetivamente terceirizar as funes de gerenciamento ou gerenciar em conjunto com terceiros sem resultar em altos custos? A avaliao e identificao dos riscos e benefcios da terceirizao da segurana uma tarefa rdua. Deve-se considerar com muita cautela os pontos positivos e negativos dos provedores de servios de gerenciamento de segurana, como: Manuteno do controle da empresa Experincia dos profissionais de segurana Variedade e flexibilidade dos servios

Symantec MANAGING ENTERPRISE SECURITY

Custo dos benefcios Filosofia e cultura do programa de segurana Compromisso com o contrato de servios Tecnologia suportada Disponibilidade de instalaes para as operaes de segurana

De todos esses fatores, a avaliao do custo de terceirizao pode ser o mais difcil, pois a maioria das empresas tem dificuldades de estimar o impacto financeiro de tal deciso. De fato, um estudo recente da InfoWorld de 100 profissionais de tecnologia sobre terceirizao, mostrou que 61 porcento das empresas no sabe quanto a empresa economizaria nos 12 meses aps a terceirizao das funes de TI. Esse o caso na maioria das empresas que consideram a terceirizao dos servios de segurana. Este documento ajuda as empresas a calcular os custos do gerenciamento de segurana e fornece situaes reais para a comparao de custos, ajudando as empresas a construir uma base para a anlise financeira, necessria ao considerar um provedor de servios de gerenciamento de segurana. Discutimos aqui tambm os benefcios da terceirizao das funes de segurana, fornecendo diretrizes que as empresas podem usar para avaliar os provedores de servios de segurana em potencial.

Desafios no ambiente de negcios

As iniciativas de e-commerce e e-business inspiram empresas a adotar um ambiente de rede distribudo e aberto. Esses ambientes so criados para reunir funcionrios, clientes, parceiros, fornecedores e distribuidores para que troquem e acessem informaes, imprescindveis na conduo de negcios atuais. Infelizmente, esse mesmo ambiente de rede cria vulnerabilidades que permite que funcionrios com intenes maliciosas, hackers e outros tipos de intrusos, tanto internos como externos, criem problemas em sistemas corporativos atravs de atos maliciosos, fraudes e vandalismo. O dano resultante pode criar um impacto negativo na estrutura da empresa, prejudicar sua imagem corporativa e afetar negativamente a confiana do cliente.
EMPRESAS ATUAIS ENFRENTAM OS SEGUINTES DESAFIOS:

H um crescimento significativo no comportamento criminoso direcionado a corporaes. Com clientes e parceiros dependentes do acesso a produtos e servios atravs de redes abertas como a Internet, necessrio que as empresas garantam a integridade dessas informaes. Do contrrio, estaro correndo o risco de comprometer sua reputao e a qualidade de sua marca. A necessidade de proteo da estrutura e imagem corporativa de uma empresa, causa a demanda de um gerenciamento efetivo da segurana de informaes. Um nmero crescente de usurios mveis e remotos, alm da computao remota em geral, cria problemas especiais de segurana para as empresas.

Symantec MANAGING ENTERPRISE SECURITY

Empresas hoje so movidas no somente pelo desejo de proteger suas informaes fsicas, mas tambm pela necessidade de garantir a produtividade de seus funcionrios. H uma crescente aceitao da mobilidade e do trabalho remoto de funcionrios, porm LANs e WANs corporativas tradicionais no so suficientes para suportar o crescimento do nmero de funcionrios off-site. medida que o acesso s redes corporativas aumenta, aumenta tambm a necessidade de proteo na transmisso de informaes para esses pontos remotos. Segurana pode no ser a base da competncia de uma empresa, mas com certeza um requisito bsico. Empresas envolvidas em e-commerce e e-business devem garantir que suas informaes estejam adequadamente protegidas. O gerenciamento da segurana de informaes requer constante vigilncia e um registro detalhado de todas as alteraes no estado da rede. Isso representa uma enorme responsabilidade e raramente se enquadra na competncia bsica da equipe de funcionrios tcnicos, constantemente em crescimento. Recursos corporativos limitados de TI so necessrios para suportar os requisitos comerciais bsicos da empresa. Diretores e gerentes de tecnologia de uma empresa buscam suporte para liberar recursos operacionais para atividades de alta importncia que envolvem competncias bsicas e estratgias comerciais. Especialistas internos em segurana de informaes normalmente tm um profundo conhecimento dos aplicativos comerciais cruciais executados na rede, e do impacto desses nas operaes corporativas e na largura de banda. Em uma situao ideal, esses talentosos funcionrios seriam efetivamente escalados para planejar a recriao e migrao da rede para suportar iniciativas comerciais estratgicas ou para implementar novos aplicativos que se concentrem nas reas de maior potencial de retorno do investimento (ROI, return-on-investment). Funcionrios internos de TI, normalmente no possuem os recursos e a especializao necessria para proteger informaes e dados importantes. Esses funcionrios podem no possuir os recursos necessrios para manter o nvel de especializao que permite diferenciar entre ataques reais e ataques no intencionais e, consequentemente, podem expor os sistemas a essas vulnerabilidades. O resultado um alto custo necessrio para garantir que os funcionrios sejam treinados e se mantenham atualizados nas tecnologias e ameaas de segurana mais recentes. Profissionais de segurana experientes so difceis de encontrar, caros para recrutar e difceis de manter. As empresas tm encontrado grandes dificuldades no alto custo do recrutamento e manuteno de experientes profissionais em segurana de informaes, devido grande demanda do mercado para tais profissionais. Alm disso, o atrito entre os funcionrios de segurana reduz a capacidade da empresa de proteger efetivamente suas informaes importantes.

Symantec MANAGING ENTERPRISE SECURITY

Analisando os custos do gerenciamento de segurana

O custo total de propriedade de um programa de gerenciamento de segurana inclui o recurso humano e o hardware de suporte, alm do software e do equipamento para montar, atualizar, manter, operar e controlar os sistemas. Quando uma empresa considera a terceirizao dos servios de segurana gerenciados, deve estimar tambm algumas variveis durante o perodo de durao do contrato: Todo o capital e custos operacionais relevantes Custo de superviso do provedor de servios de gerenciamento de segurana Provvel aumento no custo de salrios, benefcios e contratos de servios O "custo do capital" e custo de juros Valor residual de equipamentos e instalaes Custo da transio, inclusive de pessoal Custo da alterao na direo e nvel de recursos Custo das modificaes no contrato

Para contabilizar o custo total de propriedade do gerenciamento interno de segurana, uma grande variedade de custos deve ser considerada durante alguns anos. Uma empresa deve ser capaz de identificar e avaliar os custos explcitos e ocultos. A seo a seguir relaciona vrios dos custos de um programa de gerenciamento de segurana.
EQUIPAMENTO

Custos de hardware e software

Para gerenciamento interno da segurana, as empresas devem determinar o custo de todo o hardware e software necessrio para o gerenciamento e operaes de segurana. Isso inclui servidores, PCs e equipamentos perifricos, alm de todos os sistemas operacionais associados, bancos de dados, aplicativos e software de segurana. O hardware e software necessrios para suportar as operaes de segurana incluem ferramentas de gerenciamento do sistema e da rede, sistemas de helpdesk, consoles de gerenciamento integrados, alm de software e sistemas de gerenciamento do knowledge base. A lista de tecnologia de segurana suportada para terceirizao pode ser restrita, dependendo do suporte tecnologia e da tendncia do MSSP. Alguns MSSPs gerenciaro somente certas tecnologias de segurana. Em alguns casos, os MSSPs solicitam que uma marca especfica de tecnologia de segurana seja adquirida ou que a tecnologia existente de uma empresa seja substituda. Outros MSSPs requerem a compra de tecnologia especializada ou proprietria para registro de eventos e coleta, anlise e filtragem do fluxo de eventos.
Custos de licenciamento

O custo de todas as licenas de software, incluindo patches, atualizaes incrementais e novas verses do software deve ser calculado com base no ciclo de vida esperado do software.

Symantec MANAGING ENTERPRISE SECURITY

Manuteno

As taxas de manuteno do software e equipamento devem ser includas no custo total de propriedade. A manuteno do software representa normalmente entre 15 e 25 porcento do seu custo anual. Uma empresa com licenas de software avaliadas em $1 milho pagar no mnimo $150.000 em custos de manuteno. As empresas devem estar cientes do nvel de suporte que podem receber por esse custo. Alguns contratos de servios de gerenciamento de segurana fornecem de 8 a 10 horas de cobertura e suporte, enquanto outros fornecem suporte 24 horas por dia.
PESSOAL

A contratao de uma equipe de profissionais de segurana de informaes talvez seja o componente mais importante, difcil e caro de um programa de gerenciamento de segurana efetivo. O maior desafio do mercado contratar e manter uma base de profissionais de segurana experientes. O custo de contratao no inclui somente os salrios, mas tambm compensaes adicionais (bnus, incentivos em aes, etc.), custo de equipamento e espao e o custo de constante educao e treinamento. Os salrios de administradores e funcionrios de segurana variam dependendo de onde se localizam, nvel de qualificao e experincia. De acordo com uma recente pesquisa do InformationWeekresearch.com, a mdia salarial anual para profissionais de segurana de informaes (exceto gerentes) na rea de Dallas, Texas de: Alto US$88,375 Mdio US$71,750 Baixo US$64,000

Se uma empresa opera em um dia normal de 8:00 s 17:00 , mas planeja expandir suas operaes de segurana para 24 horas por dia, deve ento considerar a contratao de funcionrios em mltiplos turnos, para fornecer cobertura 365 dias por ano. Turno 1 para a manh Turno 2 para a tarde Turno 3 noite/madrugada Turno 4 fins de semana e cobertura para folgas nos turnos 1, 2 e 3

Isso usaria no mnimo 4 funcionrios para cobrir uma posio em uma operao de segurana de 24 horas por dia. Esses recursos adicionais necessitariam de uma variedade de experincias ou especializao em diferentes tipos de questes de segurana.
Recrutamento

Devido alta taxa de rotao no campo de TI, as empresas devem tambm considerar o custo de recrutamento. Independente da utilizao de pessoal de RH internos ou externo, o custo de recrutamento pode variar de 20 a 30 porcento do custo total de remunerao para a posio recrutada.

Symantec MANAGING ENTERPRISE SECURITY

Treinamento e educao

Constante treinamento e educao de profissionais de segurana essencial para a reciclagem de qualificaes e, principalmente, para manter seus funcionrios atualizados no ambiente tecnolgico constantemente em rpida transformao. Os treinamentos devem abranger as ferramentas e tecnologias de segurana mais recentes, tcnicas de ameaas e 75 estratgias de proteo. Os custos nessa rea devem incluir: Treinamento no produto ou tecnologia Treinamento na conscientizao geral de segurana Classes para preparao da certificao Custos de certificao Participao nas principais conferncias e encontros de segurana Assinaturas de livros e revistas, boletins ou cursos de e-learning para manter profissionais de segurana atualizados com as tecnologias mais recentes, dicas, tcnicas, ameaas e proteo no setor. As empresas normalmente fornecem diretrizes sobre o treinamento que um funcionrio deve receber anualmente. Um mnimo de duas semanas oferecido normalmente, podendo ser necessrio mais tempo. A maioria dos cursos de segurana duram uma semana, para que cada funcionrio tenha direito a atender dois cursos por ano. Como o custo do curso varia de $1,500 a $3,000, o custo normal do treinamento por pessoa seria de $5,000 por ano.
INSTALAES

Centro de Operaes de Segurana

O custo de instalaes e funcionrios para operaes de segurana 24 horas por dia pode ser extremamente alto. A construo ou aluguel de um centro de operaes de segurana (SOC, Security Operation Center) invivel financeiramente para a maioria das empresas, pois o custo para tal pode exceder $100 milhes. Se espao existente j estiver estabelecido ou disponvel para o gerenciamento e monitorao da segurana, o custo de montagem de um centro de operaes de segurana de tamanho mdio, com acomodao para mais ou menos 30 funcionrios, ser acima de $1 milho. Aps adicionar o custo de equipamentos, redundncia, eletricidade, HVAC (Heating, Ventilation, Air Condition and Refrigeration) e sistemas contra incndio para operaes de redundncia de alta disponibilidade, o custo torna-se proibitivo para a maioria das empresas.

Symantec MANAGING ENTERPRISE SECURITY

Considerando as opes de gerenciamento de segurana

COMPARANDO GERENCIAMENTO DE SEGURANA INTERNO COM GERENCIAMENTO TERCEIRIZADO

Considerando os desafios do mercado e do ambiente de negcios, as empresas obviamente esto procura de alternativas. Alm dos custos, uma empresa recebe vrias vantagens ao estabelecer um contrato de servios gerenciado profissionalmente por uma equipe dedicada e experiente de profissionais de segurana. A parceria com um provedor de servios de gerenciamento de segurana que seja profissional, bem estabelecido e experiente diminui o risco de ameaas cibernticas. Alto nvel de proteo, diligncia 24 horas por dia e uma postura de segurana fortalecida pode beneficiar uma empresa significativamente. Algumas vantagens esto relacionadas na tabela abaixo.
Licenciamento tradicional de software Custo de entrada Instalao e implementao Tempo Recursos qualificados Alto Solicita recursos internos Grande A empresa deve contratar, treinar e manter profissionais A empresa deve assumir todos os riscos Dimensionamento limitado compromete a eficincia e efetividade Dependente de qualificaes, processos e rapidez no tempo de resposta dos funcionrios internos vulnerabilidade de segurana Dependente de qualificaes, processos e rapidez no tempo de resposta dos funcionrios internos vulnerabilidade de segurana Provedor de servios de segurana gerenciados Baixo O MSSP gerencia a implementao Baixo O MSS fornece recursos qualificados

Risco de segurana Eficincia e efetividade

O parceiro do MSS compartilha os riscos das operaes A maior escala de eficincia (1:vrias) inerente s operaes do SOC.

Postura de segurana

Aprimorado pela diligncia e garantia do tempo de resposta dos funcionrios internos, pesquisa de vulnerabilidade e experincia da equipe do MSS Proteo 24 horas por dia, notificao de alertas cruciais e nvel de resposta de acordo com a gravidade

Resposta

EXEMPLO: CUSTO DO GERENCIAMENTO DE SEGURANA INTERNAMENTE VERSUS TERCEIRIZAO

Ao comparar as despesas e custos associados ao gerenciamento de segurana terceirizado com o gerenciamento interno, em um programa de dois anos para uma empresa de mdio porteiv, os benefcios e economia de custos de um contrato de servios gerenciados devem ser considerados na sua totalidade. Em alguns casos, a economia no primeiro ano pode ser consideravelmente alta quando comparada com os anos subsequentes, devido evoluo e mudana dos requisitos de segurana.
PERFIL DA EMPRESA Sand Pharmaceuticals pioneira e lder do mercado no descobrimento de novos

tratamentos para doenas debilitantes e casos mdicos. A empresa emprega 3000 funcionrios e possui um quadro de 40 funcionrios de TI, sendo que cinco se dedicam segurana de informaes. A Sand Pharmaceuticals implementou firewalls e atualmente est implementando a tecnologia do sistema de deteco de intruses (IDS). Para a proteo mxima da empresa, seus funcionrios de segurana implementaram trs firewalls e necessitam tambm de um IDS network-based para seis segmentos da rede, alm de um IDS host-based ativo 24 horas por dia , em dez servidores crticos da empresa.

Symantec MANAGING ENTERPRISE SECURITY

A tabela a seguir ilustra os custos da empresa para duas situaes internas (uma para durante o dia, e outra ativa 24 horas por dia) comparada com uma situao de terceirizao.
Interno de 8:00 S 17:00 (5 funcionrios) Interno de 24X7 operations (15 staff) Soluo MSS terceirizada

Ano 1 Recursos Salrios 1 Treinamento2 Recrutamento3 Equipamento Software4 Manuteno5 Implementao e Instalao6 Gerenciamento Total

$501,000 $25,000 $37,575

$1,503,000 $75,000 $288,075

N/A N/A N/A

$81,875 $12,281 Custo variado N/A a partir de $657 + instalao

$81,875 $12,281 Custo variado N/A $1,960,231 + instalao

$81,875 $12,281 $23,960 $348,000 $466,116

Presumindo que a empresa mantm seus 5 funcionrios de TI trabalhando durante o horrio comercial no suporte de segurana em misses de emergncia, a economia no primeiro ano com a terceirizao de operaes de segurana 24 horas por dia ser de aproximadamente $836,384.
Interno de 8:00 S 17:00 (5 funcionrios) In-house 24X7 operations (15 staff) Recursos da soluo MSS terceirizada

Ano 2 Recursos Salrios 7 Treinamento Recrutamento8 Equipamento Manuteno Gerenciamento Total

$546,090 $25,000 $40,957

$1,638,270 $75,000 $112,870

N/A N/A N/A

$12,281 N/A $624,328

$12,281 N/A $1,838,421

$12,281 $348,000 $360,281

Novamente presumindo que a empresa mantm seus 5 funcionrios de TI trabalhando durante o horrio comercial no suporte de segurana em misses de emergncia, a economia no segundo ano com a terceirizao de operaes de segurana 24 horas por dia ser de aproximadamente $853,812.

Baseado no Information Week Salary Advisor. Custo salarial total (incluindo salrio, opes de aes e bnus) de um profissional de segurana tpico em Houston, Texas. Salrios incluem quatro funcionrios (US$88,375) e um gerente (US$147,500). Custo de treinamento estimado em US$5,000 por funcionrio, baseado em duas classes por ano, no preo padro do setor, para cursos de treinamento em segurana. 3 Esse exemplo presume que as vagas dos cinco funcionrios dirios j esto preenchidas. Inclui tambm uma taxa de rotao anual de 30 porcento para funcionrios de segurana. Para calcular operaes internas ativas 24 horas por dia, os custos de recrutamento no primeiro ano so mais altos, porque alm dos 30 porcento de rotao das cinco vagas originais, sero necessrios mais 10 novos funcionrios. O custo de recrutamento baseado em 25 por cento do custo salarial anual, para profissionais de segurana internos. 4 O custo do software baseado em trs licenas ilimitadas de usurios para o Symantec Enterprise Firewall/VPN, Symantec NetProwler IDS para seis segmentos da rede, alm de licenas do host IDS do Symantec Intruder Alert para 10 servidores. 5 Custo de manuteno baseado em 15 porcento do custo de licena do software. 6 O custo de instalao inclui os servios de implementao e instalao para o gerenciamento remoto e manuteno constante do software. Sem o MSSP, os servios de implementao se tornam mais caros e as empresas devem fornecer manuteno constante do software (atualizaes, patches, etc.) com seus recursos internos. 7 Aumento salarial baseado em um aumento mdio de 9 porcento sobre o ano anterior. 8 Inclui tambm uma taxa de rotao anual de 30 porcento para todos os funcionrios de segurana. O custo de recrutamento baseado em 25 por cento do custo salarial anual, para profissionais de segurana internos.
1 2

10

Symantec MANAGING ENTERPRISE SECURITY

Benefcios dos servios de gerenciamento de segurana

As empresas dependem cada vez mais de informaes e do compartilhamento dessas, para suportar suas operaes. Com a proliferao de descries de tcnicas de intruso e scripts, vrias empresas enfrentam srios riscos que no existiam h cinco anos atrs. Como muitas empresas no possuem os recursos ou no desejam empregar uma equipe de segurana em tempo integral requerida para lidar com tais necessidades, elas esto sempre buscando outras alternativas. Um bom provedor de servios de gerenciamento de segurana (MSSP) pode oferecer vrias vantagens a uma empresa: Proteo aprimorada de informaes. A segurana de sistemas de informaes e redes atuais muito mais complexa e crucial do que h alguns anos atrs. Os mtodos e tecnologias usadas por hackers tornam-se mais sofisticados a cada ms. Se a segurana no for o foco central de uma empresa, isso ser uma grande desvantagem no fornecimento de um programa de gerenciamento de segurana slido e completo. O treinamento, especializao, tempo e diligncia necessrios para se manter atualizado com as estratgias de proteo mais recentes, consumir muito o tempo dos funcionrios internos, afastando-os de outras atividades importantes. Conhecimento e experincia geral dos especialistas em segurana. A experincia dos analistas e engenheiros de segurana dos MSSP, que gerenciam e monitoram os dispositivos de segurana em tempo integral, um recurso muito importante. Esses analistas detectam e respondem aos incidentes de segurana e ataques todos os dias. Isso significa que eles esto consideravelmente mais informados sobre as ameaas em potencial e possuem maior conhecimento sobre como responder a ataques, do que os funcionrios internos da empresa. Um MSSP de uma empresa deve possuir uma organizao de pesquisa dedicada a se manter informada sobre as ameaas cibernticas, vulnerabilidades, tcnicas de hackers e desenvolvimentos de segurana mais recentes. A monitorao constante de consultas e alertas de segurana essencial no fornecimento da proteo mxima contra ameaas de segurana. Compartilhe a responsabilidade com um parceiro de segurana confivel. Os MSSPs oferecem contratos de servios que especificam uma obrigao contratual para fornecer servios de uma determinada maneira, dentro de um certo perodo de tempo. Os servios de gerenciamento de segurana incluem tambm outros recursos que evitam quebras de segurana em potencial e reduzem a responsabilidade, fornecendo mais tranqilidade. Alm disso, os MSSPs fornecem especializao em segurana com considervel experincia na deteco de intruses e na prtica de respostas a incidentes. Um MSSP atua como o parceiro de segurana da empresa e compartilha o peso e a responsabilidade do gerenciamento de segurana e da resposta a incidentes.

11

Symantec MANAGING ENTERPRISE SECURITY

Obtenha gerenciamento de segurana 24 horas por dia. Um provedor de servios de segurana deve fornecer cobertura 24 horas por dia, para os sistemas mais importantes da empresa. Isso proteger as informaes da empresa, sendo importante principalmente para os ambientes de negcios que esto sempre conectados, sempre on-line. Os MSSPs patrulham as infra-estruturas e redes de clientes para garantir proteo durante os horrios que a maioria dos hackers atacaro. Isso garante tambm que os funcionrios da empresa possam liberar valiosos recursos tcnicos para trabalhar em projetos importantes que fornecero maior retorno do investimento. Faa melhor uso dos produtos de segurana j existentes. Muitas empresas adquirem produtos de segurana que, por alguma razo, nunca so totalmente implementados. Um bom provedor de servios de gerenciamento garante que as solues adquiridas sejam instaladas, implementadas e integradas para fornecer o servio que uma empresa necessita e espera. Adote medidas econmicas no gerenciamento de segurana Com a utilizao de um MSSP para fornecer proteo s informaes importantes, a empresa evita os extensos custos de pessoal associados contratao, treinamento e manuteno de profissionais de segurana. Os servios de gerenciamento de segurana reduzem o custo total de propriedade permitindo a transferncia dos custos de pessoal para uma despesa varivel. Como os servios gerenciados so cobrados mensalmente, eles permitem tambm que a empresa faa previses e gerencie melhor seu oramento de segurana.

Selecionando um Provedor de Servios de Gerenciamento de Segurana

Apesar da determinao dos custos poder ser complicada, essa representa uma parte relativamente pequena da avaliao total de um provedor de servios de gerenciamento de segurana. Outros fatores importantes que uma empresa deve considerar ao avaliar um MSS incluem:
ANLISE DE FORNECEDORMANTENDO O CONTROLE

De acordo com a Gartner, mais de $1 bilho em capital de empreendimentos foi injetado na inicializao de empresas de provedores de servios de gerenciamento de segurana. Muitas dessas empresas falharo e vrias unies e aquisies sero estabelecidas no mercado antes que se estabilize. Por isso, muito importante que as empresas tomem as necessrias precaues para analisar detalhadamente os MSSs em potencial. Uma empresa deve investigar os pontos fortes de um fornecedor, e solicitar documentao e outras informaes para avaliar seus pontos fortes, sua experincia e sucesso nas seguintes reas: Estabilidade financeira Tempo no mercado Experincia em servio de gerenciamento de segurana Clientes Reputao

12

Symantec MANAGING ENTERPRISE SECURITY

VARIEDADE DE SERVIOS OFERECIDOS

Empresas avaliando os MSSPs devem investigar: Como os novos servios de gerenciamento de segurana so implementados Tecnologias, pontos fortes e fracos na rea de servios de segurana Especializao para a equipe do MSSP.

As empresas devem determinar se as ofertas do MSSP so flexveis e variadas para que atendam as suas necessidades atuais e futuras. Empresas podem avaliar o gerenciamento, monitorao e tcnicas de respostas do MSSP, perguntando: Quais os produtos e tecnologias que o MSSP suporta? Como os funcionrios do MSSP operaro em uma emergncia? O MSSP capaz de recrutar e manter funcionrios com qualificaes suficientes para suportar a empresa? O MSSP possui contingncias para adicionar consultores especializados no caso de uma especializao adicional se tornar necessria? Os contratos de servio so flexveis e convincentes?

SUPORTE ORGANIZACIONAL

Ao determinar o nvel de suporte organizacional, as empresas devem perguntar aos MSSPs: Eles possuem suas prprias instalaes do SOC ou tm acesso a uma? Qual o critrio de recrutamento da empresa? Como seus funcionrios so remunerados e mantidos? Como a privacidade do cliente garantida?

As empresas devem tambm se informar sobre os departamentos de desenvolvimento e pesquisas do MSSP, e sobre o capital para essas reas: Como os funcionrios do MSSP se mantm atualizados sobre as tendncias mais recentes da indstria Que tipo de conhecimento especializado e experincia em segurana os funcionrios do MSSP possuem
PERFIL RECOMENDADO DE UM MSSP
Perfil recomendado de um MSSP Segurana o negcio principal Estabilidade financeira comprovada Abrangente conjunto de ofertas do MSS Procedimentos, padres e diretrizes do MSS de uso comprovado Equipe de segurana profissional, recrutada e treinada Desenvolvimento da equipe e evoluo de carreiras definidas Verificaes de confiabilidade da equipe Operaes globais gerenciadas 24 horas por dia SOCs mltiplos e redundantes com cobertura global Qualificaes extensas para suporte tcnico e de segurana Suporte dedicado para a pesquisa de vulnerabilidades e ameaas Equipe dedicada a clientes especficos Os servios suportam produtos de vrios fornecedores Pode implementar produtos de segurana Riscos financeiros e de segurana aceitos mediante o contrato Contrato de servio personalizado Gerenciamento de incidentes e recursos de resposta Symantec MSS

13

Symantec MANAGING ENTERPRISE SECURITY

Concluso
Um esquema abrangente de software, hardware, funcionrios e especialistas necessrio para o gerenciamento completo da segurana. Se ser fornecido internamente ou terceirizado, uma deciso que a empresa deve tomar usando somente seus melhores dados. Uma deciso correta para uma empresa pode no ser adequada para outra. Uma anlise de custos abrangente importante, mas somente uma parte da anlise total, para a seleo de um MSSP. importante analisar tambm os nveis dos funcionrios, experincia do fornecedor, qualificaes especializadas que podem existir somente dentro da empresa, alm de ser necessrio que os sistemas (hardware, software e firewalls) j estejam instalados. A deciso de recrutar funcionrios internos ou contratar um provedor de servios de gerenciamento de segurana deve ser tomada aps muita pesquisa, investigao e planejamento oramentrio para um nmero de anos, priorizando a manuteno de uma postura de segurana forte e proporcionando atividades on-line e de e-business geradoras de lucros.

Referncias
i

Gartner Dataquest. "The U.S. Security Services Market Forecast, 20002005," 1 de julho de 2001 Dinley, D. "Should outsourcing be part of your IT act?" InfoWorld Outsourcing Study, InfoWorld, 12 de fevereiro de 2001.

ii

iii

Carey, Allan, and Dean, Richard. "2001 Information Security Services: A Competitive Segmentation and Analysis," IDC, Junho de 2001

iv

A empresa um exemplo representativo de uma empresa de mdio porte.. Os custos so aproximados e sujeitos a alteraes sem aviso prvio.

GartnerGroup Research Note. "Surviving the Managed Service Shakeout," 15 de maro de 2001

14

Symantec MANAGING ENTERPRISE SECURITY

A SYMANTEC, LDER MUNDIAL EM TECNOLOGIA DE SEGURANA NA INTERNET, FORNECE UMA GRANDE VARIEDADE DE SOLUES DE SEGURANA DE REDE E DE CONTEDO, TANTO PARA INDIVDUOS COMO PARA EMPRESAS. A EMPRESA LDER NO FORNECIMENTO DE PROTEO ANTIVRUS, FIREWALL E REDE VIRTUAL PRIVADA (VPN), GERENCIAMENTO DE VULNERABILIDADES, DETECO DE INTRUSES, FILTRAGEM DE E-MAIL E DE CONTEDO DA INTERNET, TECNOLOGIAS DE GERENCIAMENTO REMOTO E SERVIOS DE SEGURANA A EMPRESAS EM TODO O MUNDO.

A MARCA NORTON DA SYMANTEC DE PRODUTOS DE SEGURANA PARA O CONSUMIDOR LIDERA O MERCADO EM VENDAS MUNDIAIS E PREMIAES DA INDSTRIA. COM MATRIZ EM CUPERTINO, CALIFRNIA, A SYMANTEC POSSUI OPERAES MUNDIAIS EM 37 PASES. PARA OBTER MAIS INFORMAES, ACESSE WWW.SYMANTEC.COM.BR

WORLD HEADQUARTERS
20330 Stevens Creek Blvd. Cupertino, CA 95014 U.S.A. 1.408.253.9600 1.800.441.7234

A Symantec e o logotipo da Symantec so marcas registradas da Symantec Corporation nos EUA. Outras marcas e produtos so marcas comerciais de seus respectivos proprietrios. Todas as informaes de produto esto sujeitas a alteraes. Copyright 2002 Symantec Corporation. Todos os direitos reservados. Made in the USA. 02/02 16-71-00086-BP

SYMANTEC DO BRASIL Market Place Tower Av. Dr. Chucri Zaidan, 920 12 andar - So Paulo - SP Tel: 55 11 5189-6200 Fax: 55 11 5189-6210 www.symantec.com.br

A Symantec possui operaes em 37 pases. Para obter os nmeros de contatos ou endereos de escritrios em um determinado pas, acesse nosso website.