APOSTILA

Symantec Enterprise
E Security

Gerenciando a Segurança Corporativa

Considerações sobre os serviços de gerenciamento de segurança
interno versus gerenciamento de segurança terceirizado

INSIDE
∆

∆
INSIDE

Analisando os custos do gerenciamento de

segurança
Considerando as opções de gerenciamento
∆ Benefícios dos serviços de gerenciamento de
segurança
∆ Selecionando um provedor de serviços de
gerenciamento de segurança
 Symantec MANAGING ENTERPRISE SECURITY

Conteúdo

Resumo executivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Desafios no ambiente de negócios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Analisando os custos do gerenciamento de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Equipamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Pessoal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Instalações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Considerando as opções de gerenciamento de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Comparando o gerenciamento de segurança interno com o gerenciamento

terceirizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Exemplo: custo do gerenciamento de segurança internamente versus terceirização 9

Benefícios dos serviços de gerenciamento de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Selecionando um provedor de serviços de gerenciamento de segurança . . . . . . . . . . . . . . . . . . 12

Análise de fornecedores – mantendo o controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Variedade de ofertas de serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Suporte organizacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Perfil recomendado de um MSSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Referências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

2
 Symantec MANAGING ENTERPRISE SECURITY

√ Resumo executivo
A segurança é um componente integrante e necessário dos negócios atuais, principalmente devido à
expansão da Internet e dos grandes ‘Es’: e-business, e-commerce e e-retailing. A segurança nunca foi
tão importante para a sobrevivência de uma empresa, suas vantagens competitivas e a habilidade de
manter o valor de seus investimentos. Portanto, um programa de segurança efetivo não envolve
apenas dispositivos e tecnologias de segurança, mas incorpora também indivíduos e processos.

Ao mesmo tempo, as empresas enfrentam várias barreiras para atingir e manter um programa de
segurança efetivo. Essas barreiras incluem:

• Carência de profissionais de segurança qualificados e experientes

• Carência de recursos e infra-estruturas para suportar programas de segurança que funcionem
24 horas por dia, 7 dias por semana
• Aumento da complexidade na tecnologia de segurança
• Carência de treinamento formal
• Falta de tempo para se concentrar no gerenciamento de segurança persistente e em tarefas
operacionais
Como resultado, várias empresas que gerenciam a segurança internamente estão buscando
alternativas para superar essas barreiras. É necessário encontrar uma maneira de manter uma
postura de segurança forte, com foco nas funções principais de e-business, geradoras de receita.

A terceirização das tarefas de segurança, assim como a terceirização da tecnologia da informação e

da segurança física de uma empresa, tem se tornado uma opção atraente. De acordo com a Gartner
Dataquest, os serviços de segurança gerenciados, definidos como gerenciamento e monitoração
terceirizada dos sistemas de segurança, representam o segmento que vem crescendo mais
rapidamente no mercado de serviços de segurança de informações. "Provedores de Serviços de
gerenciamento de segurança (MSSPs, Managed Security Services Providers) utilizam centros de
operações de segurança de alta disponibilidade (tanto de suas próprias instalações como de centros
de dados dos provedores) para suportar serviços 24 horas criados para reduzir o número de
funcionários de segurança operacional que a empresa necessita contratar, treinar e reter para
manter uma postura de segurança aceitável." i

Por isso, para muitas empresa, duas alternativas surgiram: gerenciamento interno de segurança ou
gerenciamento terceirizado de segurança, total ou em parte.

A questão que muitas empresas enfrentam quando decidem terceirizar é: É possível efetivamente
terceirizar as funções de gerenciamento ou gerenciar em conjunto com terceiros sem resultar em
altos custos?

A avaliação e identificação dos riscos e benefícios da terceirização da segurança é uma tarefa árdua.
Deve-se considerar com muita cautela os pontos positivos e negativos dos provedores de serviços de
gerenciamento de segurança, como:

• Manutenção do controle da empresa

• Experiência dos profissionais de segurança
• Variedade e flexibilidade dos serviços

3
 Symantec MANAGING ENTERPRISE SECURITY

• Custo dos benefícios

• Filosofia e cultura do programa de segurança
• Compromisso com o contrato de serviços
• Tecnologia suportada
• Disponibilidade de instalações para as operações de segurança

De todos esses fatores, a avaliação do custo de terceirização pode ser o mais difícil, pois a maioria
das empresas tem dificuldades de estimar o impacto financeiro de tal decisão. De fato, um estudo
recente da InfoWorld de 100 profissionais de tecnologia sobre terceirização, mostrou que 61
porcento das empresas não sabe quanto a empresa economizaria nos 12 meses após a
terceirização das funções de TI. Esse é o caso na maioria das empresas que consideram a
terceirização dos serviços de segurança.

Este documento ajuda as empresas a calcular os custos do gerenciamento de segurança e fornece

situações reais para a comparação de custos, ajudando as empresas a construir uma base para a
análise financeira, necessária ao considerar um provedor de serviços de gerenciamento de
segurança. Discutimos aqui também os benefícios da terceirização das funções de segurança,
fornecendo diretrizes que as empresas podem usar para avaliar os provedores de serviços de
segurança em potencial.

√ Desafios no ambiente de negócios

As iniciativas de e-commerce e e-business inspiram empresas a adotar um ambiente de rede distribuído
e aberto. Esses ambientes são criados para reunir funcionários, clientes, parceiros, fornecedores e
distribuidores para que troquem e acessem informações, imprescindíveis na condução de negócios
atuais. Infelizmente, esse mesmo ambiente de rede cria vulnerabilidades que permite que funcionários
com intenções maliciosas, hackers e outros tipos de intrusos, tanto internos como externos, criem
problemas em sistemas corporativos através de atos maliciosos, fraudes e vandalismo. O dano
resultante pode criar um impacto negativo na estrutura da empresa, prejudicar sua imagem corporativa
e afetar negativamente a confiança do cliente.

EMPRESAS ATUAIS ENFRENTAM OS SEGUINTES DESAFIOS:

Há um crescimento significativo no comportamento criminoso direcionado a corporações.

Com clientes e parceiros dependentes do acesso a produtos e serviços através de redes abertas
como a Internet, é necessário que as empresas garantam a integridade dessas informações. Do
contrário, estarão correndo o risco de comprometer sua reputação e a qualidade de sua marca. A
necessidade de proteção da estrutura e imagem corporativa de uma empresa, causa a demanda de
um gerenciamento efetivo da segurança de informações.

Um número crescente de usuários móveis e remotos, além da computação remota em geral, cria
problemas especiais de segurança para as empresas.

4
 Symantec MANAGING ENTERPRISE SECURITY

Empresas hoje são movidas não somente pelo desejo de proteger suas informações físicas, mas
também pela necessidade de garantir a produtividade de seus funcionários. Há uma crescente
aceitação da mobilidade e do trabalho remoto de funcionários, porém LANs e WANs corporativas
tradicionais não são suficientes para suportar o crescimento do número de funcionários off-site. À
medida que o acesso às redes corporativas aumenta, aumenta também a necessidade de proteção
na transmissão de informações para esses pontos remotos.

Segurança pode não ser a base da competência de uma empresa, mas é com certeza um requisito
básico.

Empresas envolvidas em e-commerce e e-business devem garantir que suas informações estejam
adequadamente protegidas. O gerenciamento da segurança de informações requer constante
vigilância e um registro detalhado de todas as alterações no estado da rede. Isso representa uma
enorme responsabilidade e raramente se enquadra na competência básica da equipe de
funcionários técnicos, constantemente em crescimento.

Recursos corporativos limitados de TI são necessários para suportar os requisitos comerciais básicos da
empresa.

Diretores e gerentes de tecnologia de uma empresa buscam suporte para liberar recursos
operacionais para atividades de alta importância que envolvem competências básicas e estratégias
comerciais. Especialistas internos em segurança de informações normalmente têm um profundo
conhecimento dos aplicativos comerciais cruciais executados na rede, e do impacto desses nas
operações corporativas e na largura de banda. Em uma situação ideal, esses talentosos funcionários
seriam efetivamente escalados para planejar a recriação e migração da rede para suportar
iniciativas comerciais estratégicas ou para implementar novos aplicativos que se concentrem nas
áreas de maior potencial de retorno do investimento (ROI, return-on-investment).

Funcionários internos de TI, normalmente não possuem os recursos e a especialização necessária

para proteger informações e dados importantes.

Esses funcionários podem não possuir os recursos necessários para manter o nível de
especialização que permite diferenciar entre ataques reais e ataques não intencionais e,
consequentemente, podem expor os sistemas a essas vulnerabilidades. O resultado é um alto custo
necessário para garantir que os funcionários sejam treinados e se mantenham atualizados nas
tecnologias e ameaças de segurança mais recentes.

Profissionais de segurança experientes são difíceis de encontrar, caros para recrutar e difíceis de
manter.

As empresas têm encontrado grandes dificuldades no alto custo do recrutamento e manutenção de

experientes profissionais em segurança de informações, devido à grande demanda do mercado
para tais profissionais. Além disso, o atrito entre os funcionários de segurança reduz a capacidade
da empresa de proteger efetivamente suas informações importantes.

5
 Symantec MANAGING ENTERPRISE SECURITY

√ Analisando os custos do gerenciamento de segurança

O custo total de propriedade de um programa de gerenciamento de segurança inclui o recurso
humano e o hardware de suporte, além do software e do equipamento para montar, atualizar,
manter, operar e controlar os sistemas.

Quando uma empresa considera a terceirização dos serviços de segurança gerenciados, deve
estimar também algumas variáveis durante o período de duração do contrato:

• Todo o capital e custos operacionais relevantes

• Custo de supervisão do provedor de serviços de gerenciamento de segurança
• Provável aumento no custo de salários, benefícios e contratos de serviços
• O "custo do capital" e custo de juros
• Valor residual de equipamentos e instalações
• Custo da transição, inclusive de pessoal
• Custo da alteração na direção e nível de recursos
• Custo das modificações no contrato

Para contabilizar o custo total de propriedade do gerenciamento interno de segurança, uma grande
variedade de custos deve ser considerada durante alguns anos. Uma empresa deve ser capaz de
identificar e avaliar os custos explícitos e ocultos. A seção a seguir relaciona vários dos custos de um
programa de gerenciamento de segurança.

EQUIPAMENTO

Custos de hardware e software

Para gerenciamento interno da segurança, as empresas devem determinar o custo de todo o

hardware e software necessário para o gerenciamento e operações de segurança. Isso inclui
servidores, PCs e equipamentos periféricos, além de todos os sistemas operacionais associados,
bancos de dados, aplicativos e software de segurança. O hardware e software necessários para
suportar as operações de segurança incluem ferramentas de gerenciamento do sistema e da rede,
sistemas de helpdesk, consoles de gerenciamento integrados, além de software e sistemas de
gerenciamento do knowledge base.

A lista de tecnologia de segurança suportada para terceirização pode ser restrita, dependendo do
suporte à tecnologia e da tendência do MSSP. Alguns MSSPs gerenciarão somente certas
tecnologias de segurança. Em alguns casos, os MSSPs solicitam que uma marca específica de
tecnologia de segurança seja adquirida ou que a tecnologia existente de uma empresa seja
substituída. Outros MSSPs requerem a compra de tecnologia especializada ou proprietária para
registro de eventos e coleta, análise e filtragem do fluxo de eventos.

Custos de licenciamento

O custo de todas as licenças de software, incluindo patches, atualizações incrementais e novas

versões do software deve ser calculado com base no ciclo de vida esperado do software.

6
 Symantec MANAGING ENTERPRISE SECURITY

Manutenção

As taxas de manutenção do software e equipamento devem ser incluídas no custo total de

propriedade. A manutenção do software representa normalmente entre 15 e 25 porcento do seu
custo anual. Uma empresa com licenças de software avaliadas em $1 milhão pagará no mínimo
$150.000 em custos de manutenção. As empresas devem estar cientes do nível de suporte que
podem receber por esse custo. Alguns contratos de serviços de gerenciamento de segurança
fornecem de 8 a 10 horas de cobertura e suporte, enquanto outros fornecem suporte 24 horas por
dia.

PESSOAL

A contratação de uma equipe de profissionais de segurança de informações talvez seja o

componente mais importante, difícil e caro de um programa de gerenciamento de segurança
efetivo. O maior desafio do mercado é contratar e manter uma base de profissionais de segurança
experientes. O custo de contratação não inclui somente os salários, mas também compensações
adicionais (bônus, incentivos em ações, etc.), custo de equipamento e espaço e o custo de
constante educação e treinamento. Os salários de administradores e funcionários de segurança
variam dependendo de onde se localizam, nível de qualificação e experiência. De acordo com uma
recente pesquisa do InformationWeekresearch.com, a média salarial anual para profissionais de
segurança de informações (exceto gerentes) na área de Dallas, Texas é de:
Alto Médio Baixo

US$88,375 US$71,750 US$64,000

Se uma empresa opera em um dia normal de 8:00 às 17:00 , mas planeja expandir suas operações de
segurança para 24 horas por dia, deve então considerar a contratação de funcionários em múltiplos
turnos, para fornecer cobertura 365 dias por ano.

• Turno 1 para a manhã

• Turno 2 para a tarde
• Turno 3 noite/madrugada
• Turno 4 fins de semana e cobertura para folgas nos turnos 1, 2 e 3

Isso usaria no mínimo 4 funcionários para cobrir uma posição em uma operação de segurança de 24
horas por dia. Esses recursos adicionais necessitariam de uma variedade de experiências ou
especialização em diferentes tipos de questões de segurança.

Recrutamento

Devido à alta taxa de rotação no campo de TI, as empresas devem também considerar o custo de
recrutamento. Independente da utilização de pessoal de RH internos ou externo, o custo de
recrutamento pode variar de 20 a 30 porcento do custo total de remuneração para a posição
recrutada.

7
 Symantec MANAGING ENTERPRISE SECURITY

Treinamento e educação

Constante treinamento e educação de profissionais de segurança é essencial para a reciclagem de

qualificações e, principalmente, para manter seus funcionários atualizados no ambiente tecnológico
constantemente em rápida transformação. Os treinamentos devem abranger as ferramentas e
tecnologias de segurança mais recentes, técnicas de ameaças e 75 estratégias de proteção. Os
custos nessa área devem incluir:

• Treinamento no produto ou tecnologia

• Treinamento na conscientização geral de segurança
• Classes para preparação da certificação
• Custos de certificação
• Participação nas principais conferências e encontros de segurança
• Assinaturas de livros e revistas, boletins ou cursos de e-learning para manter profissionais de
segurança atualizados com as tecnologias mais recentes, dicas, técnicas, ameaças e proteção
no setor.

As empresas normalmente fornecem diretrizes sobre o treinamento que um funcionário deve

receber anualmente. Um mínimo de duas semanas é oferecido normalmente, podendo ser
necessário mais tempo. A maioria dos cursos de segurança duram uma semana, para que cada
funcionário tenha direito a atender dois cursos por ano. Como o custo do curso varia de $1,500 a
$3,000, o custo normal do treinamento por pessoa seria de $5,000 por ano.

INSTALAÇÕES

Centro de Operações de Segurança

O custo de instalações e funcionários para operações de segurança 24 horas por dia pode ser
extremamente alto. A construção ou aluguel de um centro de operações de segurança (SOC, Security
Operation Center) é inviável financeiramente para a maioria das empresas, pois o custo para tal pode
exceder $100 milhões. Se espaço existente já estiver estabelecido ou disponível para o gerenciamento
e monitoração da segurança, o custo de montagem de um centro de operações de segurança de
tamanho médio, com acomodação para mais ou menos 30 funcionários, será acima de $1 milhão.
Após adicionar o custo de equipamentos, redundância, eletricidade, HVAC (Heating, Ventilation, Air
Condition and Refrigeration) e sistemas contra incêndio para operações de redundância de alta
disponibilidade, o custo torna-se proibitivo para a maioria das empresas.

8
 Symantec MANAGING ENTERPRISE SECURITY

√ Considerando as opções de gerenciamento de segurança

COMPARANDO GERENCIAMENTO DE SEGURANÇA INTERNO COM GERENCIAMENTO TERCEIRIZADO

Considerando os desafios do mercado e do ambiente de negócios, as empresas obviamente estão à

procura de alternativas. Além dos custos, uma empresa recebe várias vantagens ao estabelecer um
contrato de serviços gerenciado profissionalmente por uma equipe dedicada e experiente de
profissionais de segurança. A parceria com um provedor de serviços de gerenciamento de
segurança que seja profissional, bem estabelecido e experiente diminui o risco de ameaças
cibernéticas. Alto nível de proteção, diligência 24 horas por dia e uma postura de segurança
fortalecida pode beneficiar uma empresa significativamente. Algumas vantagens estão relacionadas
na tabela abaixo.
Licenciamento tradicional Provedor de serviços de segurança
de software gerenciados

Custo de entrada Alto Baixo

Instalação e implementação Solicita recursos internos O MSSP gerencia a implementação

Tempo Grande Baixo

Recursos qualificados A empresa deve contratar, O MSS fornece recursos qualificados

treinar e manter profissionais

Risco de segurança A empresa deve assumir todos O parceiro do MSS compartilha

os riscos os riscos das operações

Eficiência e efetividade Dimensionamento limitado A maior escala de eficiência

compromete a eficiência (1:várias) é inerente às operações do SOC.
e efetividade

Postura de segurança Dependente de qualificações, Aprimorado pela diligência e garantia

processos e rapidez no tempo de do tempo de resposta dos funcionários
resposta dos funcionários internos internos, pesquisa de vulnerabilidade
vulnerabilidade de segurança e experiência da equipe do MSS

Resposta Dependente de qualificações, Proteção 24 horas por dia, notificação

processos e rapidez no tempo de de alertas cruciais e nível de resposta
resposta dos funcionários internos de acordo com a gravidade
vulnerabilidade de segurança

EXEMPLO: CUSTO DO GERENCIAMENTO DE SEGURANÇA INTERNAMENTE VERSUS TERCEIRIZAÇÃO

Ao comparar as despesas e custos associados ao gerenciamento de segurança terceirizado com o

gerenciamento interno, em um programa de dois anos para uma empresa de médio porteiv, os
benefícios e economia de custos de um contrato de serviços gerenciados devem ser considerados
na sua totalidade. Em alguns casos, a economia no primeiro ano pode ser consideravelmente alta
quando comparada com os anos subsequentes, devido à evolução e mudança dos requisitos de
segurança.

PERFIL DA EMPRESA Sand Pharmaceuticals é pioneira e líder do mercado no descobrimento de novos

tratamentos para doenças debilitantes e casos médicos. A empresa emprega 3000 funcionários e
possui um quadro de 40 funcionários de TI, sendo que cinco se dedicam à segurança de informações.
A Sand Pharmaceuticals implementou firewalls e atualmente está implementando a tecnologia do
sistema de detecção de intrusões (IDS). Para a proteção máxima da empresa, seus funcionários de
segurança implementaram três firewalls e necessitam também de um IDS network-based para seis
segmentos da rede, além de um IDS host-based ativo 24 horas por dia , em dez servidores críticos da
empresa.

9
 Symantec MANAGING ENTERPRISE SECURITY

A tabela a seguir ilustra os custos da empresa para duas situações internas (uma para durante o dia, e
outra ativa 24 horas por dia) comparada com uma situação de terceirização.

Interno de Interno de Solução

8:00 ÀS 17:00 24X7 operations MSS
Ano 1 (5 funcionários) (15 staff) terceirizada

Recursos

Salários 1 $501,000 $1,503,000 N/A

Treinamento2 $25,000 $75,000 N/A

Recrutamento3 $37,575 $288,075 N/A

Equipamento

Software4 $81,875 $81,875 $81,875

Manutenção5 $12,281 $12,281 $12,281

Implementação e Instalação6 Custo variado Custo variado $23,960

Gerenciamento N/A N/A $348,000

Total a partir de $657 $1,960,231 $466,116

+ instalação + instalação

Presumindo que a empresa mantém seus 5 funcionários de TI trabalhando durante o horário

comercial no suporte de segurança em missões de emergência, a economia no primeiro ano com a
terceirização de operações de segurança 24 horas por dia será de aproximadamente $836,384.

Interno de In-house Recursos da

8:00 ÀS 17:00 24X7 operations solução MSS
Ano 2 (5 funcionários) (15 staff) terceirizada

Recursos

Salários 7 $546,090 $1,638,270 N/A

Treinamento $25,000 $75,000 N/A

Recrutamento8 $40,957 $112,870 N/A

Equipamento

Manutenção $12,281 $12,281 $12,281

Gerenciamento N/A N/A $348,000

Total $624,328 $1,838,421 $360,281

Novamente presumindo que a empresa mantém seus 5 funcionários de TI trabalhando durante o

horário comercial no suporte de segurança em missões de emergência, a economia no segundo ano
com a terceirização de operações de segurança 24 horas por dia será de aproximadamente
$853,812.

1
Baseado no Information Week Salary Advisor. Custo salarial total (incluindo salário, opções de ações e bônus) de um profissional de segurança típico em Houston, Texas. Salários
incluem quatro funcionários (US$88,375) e um gerente (US$147,500).
2
Custo de treinamento estimado em US$5,000 por funcionário, baseado em duas classes por ano, no preço padrão do setor, para cursos de treinamento em segurança.
3
Esse exemplo presume que as vagas dos cinco funcionários diários já estão preenchidas. Inclui também uma taxa de rotação anual de 30 porcento para funcionários de segurança.
Para calcular operações internas ativas 24 horas por dia, os custos de recrutamento no primeiro ano são mais altos, porque além dos 30 porcento de rotação das cinco vagas
originais, serão necessários mais 10 novos funcionários. O custo de recrutamento é baseado em 25 por cento do custo salarial anual, para profissionais de segurança internos.
4
O custo do software é baseado em três licenças ilimitadas de usuários para o Symantec Enterprise Firewall/VPN, Symantec NetProwler IDS para seis segmentos da rede, além de
licenças do host IDS do Symantec Intruder Alert para 10 servidores.
5
Custo de manutenção baseado em 15 porcento do custo de licença do software.
6
O custo de instalação inclui os serviços de implementação e instalação para o gerenciamento remoto e manutenção constante do software. Sem o MSSP, os serviços de
implementação se tornam mais caros e as empresas devem fornecer manutenção constante do software (atualizações, patches, etc.) com seus recursos internos.
7
Aumento salarial baseado em um aumento médio de 9 porcento sobre o ano anterior.
8
Inclui também uma taxa de rotação anual de 30 porcento para todos os funcionários de segurança. O custo de recrutamento é baseado em 25 por cento do custo salarial anual, para
profissionais de segurança internos.

10
 Symantec MANAGING ENTERPRISE SECURITY

√ Benefícios dos serviços de gerenciamento de segurança

As empresas dependem cada vez mais de informações e do compartilhamento dessas, para
suportar suas operações. Com a proliferação de descrições de técnicas de intrusão e scripts, várias
empresas enfrentam sérios riscos que não existiam há cinco anos atrás. Como muitas empresas não
possuem os recursos ou não desejam empregar uma equipe de segurança em tempo integral
requerida para lidar com tais necessidades, elas estão sempre buscando outras alternativas.

Um bom provedor de serviços de gerenciamento de segurança (MSSP) pode oferecer várias

vantagens a uma empresa:

Proteção aprimorada de informações.

A segurança de sistemas de informações e redes atuais é muito mais complexa e crucial do que há
alguns anos atrás. Os métodos e tecnologias usadas por hackers tornam-se mais sofisticados a cada
mês. Se a segurança não for o foco central de uma empresa, isso será uma grande desvantagem no
fornecimento de um programa de gerenciamento de segurança sólido e completo.

O treinamento, especialização, tempo e diligência necessários para se manter atualizado com as

estratégias de proteção mais recentes, consumirá muito o tempo dos funcionários internos,
afastando-os de outras atividades importantes.

Conhecimento e experiência geral dos especialistas em segurança.

A experiência dos analistas e engenheiros de segurança dos MSSP, que gerenciam e monitoram os
dispositivos de segurança em tempo integral, é um recurso muito importante. Esses analistas
detectam e respondem aos incidentes de segurança e ataques todos os dias. Isso significa que eles
estão consideravelmente mais informados sobre as ameaças em potencial e possuem maior
conhecimento sobre como responder a ataques, do que os funcionários internos da empresa.

Um MSSP de uma empresa deve possuir uma organização de pesquisa dedicada a se manter
informada sobre as ameaças cibernéticas, vulnerabilidades, técnicas de hackers e
desenvolvimentos de segurança mais recentes. A monitoração constante de consultas e alertas de
segurança é essencial no fornecimento da proteção máxima contra ameaças de segurança.

Compartilhe a responsabilidade com um parceiro de segurança confiável.

Os MSSPs oferecem contratos de serviços que especificam uma obrigação contratual para fornecer
serviços de uma determinada maneira, dentro de um certo período de tempo. Os serviços de
gerenciamento de segurança incluem também outros recursos que evitam quebras de segurança
em potencial e reduzem a responsabilidade, fornecendo mais tranqüilidade. Além disso, os MSSPs
fornecem especialização em segurança com considerável experiência na detecção de intrusões e
na prática de respostas a incidentes. Um MSSP atua como o parceiro de segurança da empresa e
compartilha o peso e a responsabilidade do gerenciamento de segurança e da resposta a incidentes.

11
 Symantec MANAGING ENTERPRISE SECURITY

Obtenha gerenciamento de segurança 24 horas por dia.

Um provedor de serviços de segurança deve fornecer cobertura 24 horas por dia, para os sistemas
mais importantes da empresa. Isso protegerá as informações da empresa, sendo importante
principalmente para os ambientes de negócios que estão sempre conectados, sempre on-line. Os
MSSPs patrulham as infra-estruturas e redes de clientes para garantir proteção durante os horários
que a maioria dos hackers atacarão. Isso garante também que os funcionários da empresa possam
liberar valiosos recursos técnicos para trabalhar em projetos importantes que fornecerão maior retorno
do investimento.

Faça melhor uso dos produtos de segurança já existentes. Muitas empresas adquirem produtos de
segurança que, por alguma razão, nunca são totalmente implementados. Um bom provedor de
serviços de gerenciamento garante que as soluções adquiridas sejam instaladas, implementadas e
integradas para fornecer o serviço que uma empresa necessita e espera.

Adote medidas econômicas no gerenciamento de segurança

Com a utilização de um MSSP para fornecer proteção às informações importantes, a empresa evita
os extensos custos de pessoal associados à contratação, treinamento e manutenção de profissionais
de segurança. Os serviços de gerenciamento de segurança reduzem o custo total de propriedade
permitindo a transferência dos custos de pessoal para uma despesa variável. Como os serviços
gerenciados são cobrados mensalmente, eles permitem também que a empresa faça previsões e
gerencie melhor seu orçamento de segurança.

√ Selecionando um Provedor de Serviços de Gerenciamento de Segurança

Apesar da determinação dos custos poder ser complicada, essa representa uma parte relativamente
pequena da avaliação total de um provedor de serviços de gerenciamento de segurança. Outros
fatores importantes que uma empresa deve considerar ao avaliar um MSS incluem:

ANÁLISE DE FORNECEDOR—MANTENDO O CONTROLE

De acordo com a Gartner, mais de $1 bilhão em capital de empreendimentos foi injetado na

inicialização de empresas de provedores de serviços de gerenciamento de segurança. Muitas
dessas empresas falharão e várias uniões e aquisições serão estabelecidas no mercado antes que se
estabilize. Por isso, é muito importante que as empresas tomem as necessárias precauções para
analisar detalhadamente os MSSs em potencial. Uma empresa deve investigar os pontos fortes de
um fornecedor, e solicitar documentação e outras informações para avaliar seus pontos fortes, sua
experiência e sucesso nas seguintes áreas:

• Estabilidade financeira
• Tempo no mercado
• Experiência em serviço de gerenciamento de segurança
• Clientes
• Reputação

12
 Symantec MANAGING ENTERPRISE SECURITY

VARIEDADE DE SERVIÇOS OFERECIDOS

Empresas avaliando os MSSPs devem investigar:

• Como os novos serviços de gerenciamento de segurança são implementados
• Tecnologias, pontos fortes e fracos na área de serviços de segurança
• Especialização para a equipe do MSSP.

As empresas devem determinar se as ofertas do MSSP são flexíveis e variadas para que atendam as
suas necessidades atuais e futuras. Empresas podem avaliar o gerenciamento, monitoração e
técnicas de respostas do MSSP, perguntando:
• Quais os produtos e tecnologias que o MSSP suporta?
• Como os funcionários do MSSP operarão em uma emergência?
• O MSSP é capaz de recrutar e manter funcionários com qualificações suficientes para
suportar a empresa?
• O MSSP possui contingências para adicionar consultores especializados no caso de
uma especialização adicional se tornar necessária?
• Os contratos de serviço são flexíveis e convincentes?

SUPORTE ORGANIZACIONAL

Ao determinar o nível de suporte organizacional, as empresas devem perguntar aos MSSPs:

• Eles possuem suas próprias instalações do SOC ou têm acesso a uma?
• Qual o critério de recrutamento da empresa?
• Como seus funcionários são remunerados e mantidos?
• Como a privacidade do cliente é garantida?

As empresas devem também se informar sobre os departamentos de desenvolvimento e pesquisas

do MSSP, e sobre o capital para essas áreas:
• Como os funcionários do MSSP se mantêm atualizados sobre as tendências mais recentes
da indústria
• Que tipo de conhecimento especializado e experiência em segurança os funcionários do
MSSP possuem

PERFIL RECOMENDADO DE UM MSSP

Perfil recomendado de um MSSP Symantec MSS

Segurança é o negócio principal ✔
Estabilidade financeira comprovada ✔
Abrangente conjunto de ofertas do MSS ✔
Procedimentos, padrões e diretrizes do MSS de uso comprovado ✔
Equipe de segurança profissional, recrutada e treinada ✔
Desenvolvimento da equipe e evolução de carreiras definidas ✔
Verificações de confiabilidade da equipe ✔
Operações globais gerenciadas 24 horas por dia ✔
SOCs múltiplos e redundantes com cobertura global ✔
Qualificações extensas para suporte técnico e de segurança ✔
Suporte dedicado para a pesquisa de vulnerabilidades e ameaças ✔
Equipe dedicada a clientes específicos ✔
Os serviços suportam produtos de vários fornecedores ✔
Pode implementar produtos de segurança ✔
Riscos financeiros e de segurança aceitos mediante o contrato ✔
Contrato de serviço personalizado ✔
Gerenciamento de incidentes e recursos de resposta ✔
13
 Symantec MANAGING ENTERPRISE SECURITY

√ Conclusão
Um esquema abrangente de software, hardware, funcionários e especialistas é necessário para o
gerenciamento completo da segurança. Se será fornecido internamente ou terceirizado, é uma
decisão que a empresa deve tomar usando somente seus melhores dados. Uma decisão correta para
uma empresa pode não ser adequada para outra.

Uma análise de custos abrangente é importante, mas é somente uma parte da análise total, para a
seleção de um MSSP. É importante analisar também os níveis dos funcionários, experiência do
fornecedor, qualificações especializadas que podem existir somente dentro da empresa, além de
ser necessário que os sistemas (hardware, software e firewalls) já estejam instalados.

A decisão de recrutar funcionários internos ou contratar um provedor de serviços de gerenciamento

de segurança deve ser tomada após muita pesquisa, investigação e planejamento orçamentário
para um número de anos, priorizando a manutenção de uma postura de segurança forte e
proporcionando atividades on-line e de e-business geradoras de lucros.

√ Referências
i
Gartner Dataquest. "The U.S. Security Services Market Forecast, 2000–2005," 1 de julho de 2001
ii
Dinley, D. "Should outsourcing be part of your IT act?" InfoWorld Outsourcing Study, InfoWorld, 12
de fevereiro de 2001.
iii
Carey, Allan, and Dean, Richard. "2001 Information Security Services: A Competitive Segmentation
and Analysis," IDC, Junho de 2001
iv
A empresa é um exemplo representativo de uma empresa de médio porte.. Os custos são
aproximados e sujeitos a alterações sem aviso prévio.
v
GartnerGroup Research Note. "Surviving the Managed Service Shakeout," 15 de março de 2001

14
 Symantec MANAGING ENTERPRISE SECURITY

A SYMANTEC, LÍDER MUNDIAL EM TECNOLOGIA DE SEGURANÇA NA INTERNET, FORNECE UMA GRANDE VARIEDADE DE SOLUÇÕES DE

SEGURANÇA DE REDE E DE CONTEÚDO, TANTO PARA INDIVÍDUOS COMO PARA EMPRESAS. A EMPRESA É LÍDER NO FORNECIMENTO DE

PROTEÇÃO ANTIVÍRUS, FIREWALL E REDE VIRTUAL PRIVADA (VPN), GERENCIAMENTO DE VULNERABILIDADES, DETECÇÃO DE

INTRUSÕES, FILTRAGEM DE E-MAIL E DE CONTEÚDO DA INTERNET, TECNOLOGIAS DE GERENCIAMENTO REMOTO E SERVIÇOS DE

SEGURANÇA A EMPRESAS EM TODO O MUNDO.

A MARCA NORTON DA SYMANTEC DE PRODUTOS DE SEGURANÇA PARA O CONSUMIDOR LIDERA O MERCADO EM VENDAS MUNDIAIS E

PREMIAÇÕES DA INDÚSTRIA. COM MATRIZ EM CUPERTINO, CALIFÓRNIA, A SYMANTEC POSSUI OPERAÇÕES MUNDIAIS EM 37 PAÍSES.

PARA OBTER MAIS INFORMAÇÕES, ACESSE WWW.SYMANTEC.COM.BR

WORLD HEADQUARTERS
20330 Stevens Creek Blvd.
Cupertino, CA 95014 U.S.A.
1.408.253.9600
1.800.441.7234

SYMANTEC DO BRASIL A Symantec possui operações

Market Place Tower
Av. Dr. Chucri Zaidan, 920
12 º andar - São Paulo - SP
Tel: 55 11 5189-6200
A Symantec e o logotipo da Symantec são marcas registradas da Symantec Corporation nos EUA. Outras marcas e produtos são marcas comerciais de seus
respectivos proprietários. Todas as informações de produto estão sujeitas a alterações. Copyright © 2002 Symantec Corporation. Todos os direitos Fax: 55 11 5189-6210
reservados. Made in the USA. 02/02 16-71-00086-BP
www.symantec.com.br
em 37 países.
Para obter os números de
contatos ou endereços de
escritórios em um determinado
país, acesse nosso website.