UNIVERSIDADE DE TRÁS-OS-MONTES E ALTO DOURO
ESTRATÉGIAS DE OUTSOURCING DAS OPERAÇÕES DE
SEGURANÇA DA INFORMAÇÃO EM EMPRESAS BRASILEIRAS
Dissertação de Mestrado em Gestão
PEDRO NUNO TRINDADE DOS SANTOS
VILA REAL, 2012
PEDRO NUNO TRINDADE DOS SANTOS
ESTRATÉGIAS DE OUTSOURCING DAS OPERAÇÕES DE
SEGURANÇA DA INFORMAÇÃO EM EMPRESAS BRASILEIRAS
Dissertação de Mestrado em Gestão
Orientação:
Orientador - Prof. Doutor Ramiro Gonçalves
Coorientador - Prof. Doutor Mário Sérgio Teixeira
VILA REAL, 2012
Dissertação submetida para a obtenção do grau de
mestre em Gestão na Universidade de Trás-osMontes e Alto Douro
- Utad pelo candidato
Pedro Nuno Trindade dos Santos sob a orientação
do Professor Doutor Ramiro Gonçalves e coorientação do Professor Doutor Mário Sérgio da
Universidade de Trás-os-Montes e Alto Douro.
AGRADECIMENTOS
Ao Professor Doutor Ramiro Manuel Ramos Moreira Gonçalves, orientador da dissertação
de Mestrado, pela atenção, cordialidade, educação, ajuda, criticas, conselhos, empenho,
dedicação e principalmente pela disponibilidade e paciencia que sempre manifestou. Que
por várias vezes me incentivou a não desistir deste projeto.
Ao Professor Doutor Doutor Mário Sérgio, coorientador da dissertação de Mestrado, pela
atenção, paciencia, incentivo e dedicação no decorrer da orientação desse trabalho.
A Professora Carla Susana da Encarnação Marques pelo total apoio.
A Professora Maria Livia Carvalho Garbi Holsbach, pois sem a sua persistencia eu não
estaria concluindo mais esta etapa.
Aos meus tios e primo que foram muito amorosos e me apoiaram com toda a infraestrutura
e logística.
A todos os colegas da turma de Mestrado em Gestão de 2010.
Às empresas que colaboraram com o preenchimento do questionário.
A minha querida esposa.
A todos aqueles que, de alguma forma, contribuiram no desenvolvimento da presente
dissertação.
E ao nosso Deus.
I
RESUMO
No cenário atual, as empresas para se manterem competitivas precisam aprimorar seu
modelo de gestão. Tais empresas tendem a buscar um maior nível de maturidade e utilizar
melhores práticas de gestão. Este assunto se torna mais importante ou crucial quanto tais
empresas possuem colaboradores ou terceiros que lhes prestam serviço relacionados às
suas operações.
Desta forma a organização precisa saber exatamente o que deve ou não terceirizar.
Atualmente há uma realidade que se tem apresentado como uma forte tendência: a
terceirização dos serviços de Segurança da Informação como ocorreu com os serviços de
tecnologia da informação.
Baseando-se neste fato, é grande a probabilidade de falta de critérios e estratégias de
gestão para a definição de quais operações de segurança da informação que realmente
possam ser terceirizadas em uma organização levando em consideração a criticidade do
tema e de seus processos.
Este trabalho visa apresentar as estratégias adotadas pelas organizações no que se refere ao
outsourcing das operações de segurança da informação e os possíveis riscos inerentes a tais
estratégias.
PALAVRAS-CHAVE: Gestão, Governança, Estratégia, Segurança da Informação,
Tecnologia da Informação, Outsourcing, Terceirização.
II
ABSTRACT
In the current scenario, companies to remain competitive need to improve its management
model. Such companies tend to seek a higher level of maturity and use best management
practices. This issue becomes more important or crucial as these companies have
employees or third parties that serve them related to their operations.
Thus the organization needs to know exactly what should or should not outsource.
Currently there is a reality that has been presented as a strong trend: the outsourcing of
information security services as did the services of Information Technology.
Based on this fact, it is more likely a lack of criteria and management strategies for the
definition of what information security operations that actually may be outsourced in an
organization taking into consideration the criticality of the subject and its processes.
This paper presents the strategies adopted by organizations with regard to outsourcing of
information security operations and the potential risks inherent with such strategies.
KEYWORDS: Management, Governance, Strategy, Information Security, Information
Technology.
III
INDICE GERAL
AGRADECIMENTOS.................................................................................................................................
I
RESUMO.....................................................................................................................................................
II
ABSTRACT.................................................................................................................................................
III
ÌNDICE GERAL..........................................................................................................................................
IV
ÍNDICE DE TABELAS............................................................................................................................... VIII
ÍNDICE DE FIGURAS................................................................................................................................
X
ÍNDICE DE GRÁFICOS.............................................................................................................................
XI
SIGLAS E ACRÓNIMOS...........................................................................................................................
XII
CAPÍTULO I - INTRODUÇÃO A PROBLEMÁTICA DA INVESTIGAÇÃO
001
1.1 – INTRODUÇÃO............................................................................................................................. 001
1.2 – RELEVÂNCIA, OBJECTIVOS ESPECÍFICOS E QUESTÕES DA INVESTIGAÇÃO............ 002
1.3 – ESTRUTURA DA INVESTIGAÇÃO.......................................................................................... 004
CAPÍTULO II – ENQUADRAMENTO TEÓRICO.................................................. 006
2.1 – OUTSOURCING (TERCEIRIZAÇÃO)......................................................................................
006
2.1.1 - CONCEITOS SOBRE OUTSOURCING.........................................................................
008
2.1.2 - RAZÕES E OBJETIVOS DE UM OUTSOURCING......................................................
011
2.1.3 - OUTSOURCING VERSUS TECNOLOGIA DA INFORMAÇÃO.................................
017
2.2 – SEGURANÇA DA INFORMAÇÃO...........................................................................................
018
2.2.1 - OUTSOURCING VERSUS SEGURANÇA DA INFORMAÇÃO..................................
022
2.3 – ESTRATÉGIAS DE OUTSOURCING.......................................................................................
024
2.3.1 - O QUE TERCEIRIZAR?..................................................................................................
027
2.4 – RISCOS DE OUTSOURCING DAS OPERAÇÕES DE SEGURANÇA DA INFORMAÇÃO
039
CAPÍTULO III - METODOLOGIA DA INVESTIGAÇÃO.................................... 046
3.1 – DESENHO DA INVESTIGAÇÃO.............................................................................................
046
3.2 – OBJETIVOS DA INVESTIGAÇÃO..........................................................................................
047
3.2.1 – OBJETIVOS GERAIS..................................................................................................
047
3.2.2 – OBJETIVOS ESPECÍFICOS........................................................................................
047
3.3 – QUESTÕES DA INVESTIGAÇÃO...........................................................................................
048
3.4 – MÉTODOS DA INVESTIGAÇÃO............................................................................................
051
3.5 – TIPOS DE ESTUDO...................................................................................................................
052
3.6 – POPULAÇÃO EM ESTUDO......................................................................................................
052
3.7 – INSTRUMENTOS DE MEDIDA E RECOLHA DE DADOS...................................................
054
3.8 – VARIÁVEIS................................................................................................................................
057
3.9 – APLICAÇÃO E TRATAMENTO ESTATÍSTICO....................................................................
071
IV
CAPÍTULO IV – ANÁLISE E INTERPRETAÇÃO DOS DADOS......................... 075
4.1 – DESENHO DA PESQUISA........................................................................................................
075
4.2 – MODELO....................................................................................................................................
075
4.3 – INSTRUMENTO.........................................................................................................................
076
4.4 – RECOLHA DE DADOS..............................................................................................................
077
4.5 – TRATAMENTO E ESTUDO DE DADOS.................................................................................
077
4.5.1 – POSIÇÃO ORGANIZACIONAL.................................................................................
078
4.5.2 – TIPO DE ORGANIZAÇÃO .........................................................................................
078
4.5.3 – RAMO DE ATIVIDADE ... .........................................................................................
079
4.5.4 – QUANTITATIVO DE EMPREGADOS ......................................................................
080
4.5.5 – DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO FORMALIZADO NA
ORGANIZAÇÃO......................................................................................................................
080
4.5.6 – QUANTITATIVO DE EMPREGADOS NO DEPARTAMENTO DE TI...................
081
4.5.7 – DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO FORMALIZADO NA
ORGANIZAÇÃO......................................................................................................................
081
4.5.8 – DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO É SUBORDINADO AO
DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO..............................................
082
4.5.9 – QUANTITATIVO DE EMPREGADOS NO DEPARTAMENTO DE SEGURANÇA DA
INFORMAÇÃO .......................................................................................................................
082
4.5.10 – AMPLITUDE DA SEGURANÇA DA INFORMAÇÃO...........................................
083
4.5.11 – IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO PARA A ORGANIZAÇÃO
...................................................................................................................................................
083
4.5.12 – OUTSOURCING DE PROCESSOS, SERVIÇOS OU ATIVIDADES RELACIONADAS
À TECNOLOGIA......................................................................................................................
083
4.5.13 – MODALIDADE DE OUTSOURCING.......................................................................
084
4.5.14 – OUTSOURCING DE PROCESSOS DE SEGURANÇA DA INFORMAÇÃO.........
084
4.5.15 – FATORES DE NÃO REALIZAR O OUTSOURCING DOS PROCESSOS DE
SEGURANÇA DA INFORMAÇÃO .......................................................................................
084
4.5.16 – MODALIDADE DE OUTSOURCING DE SEGURANÇA DA INFORMAÇÃO
ADOTADA ...............................................................................................................................
088
4.5.17 – PROCESSOS E SERVIÇOS TERCEIRIZADOS.......................................................
089
4.5.18 – ACESSO DE PRESTADOR DE SERVIÇO A INFORMAÇÕES SENSÍVEIS.........
090
4.5.19 – OUTSOURCING DE SEGURANÇA DA INFORMAÇÃO REALIZADO JUNTO COM
O OUTSOURCING DE TECNOLOGIA DA INFORMAÇÃO...............................................
090
4.5.20 – FATORES QUE LEVARAM À DECISÃO DE REALIZAR O OUTSOURCING DE
SEGURANÇA
DA
INFORMAÇÃO
JUNTO
COM
O
DE
TECNOLOGIA
DA
INFORMAÇÃO........................................................................................................................
091
4.5.21 – BENCHMARK COM OUTRAS EMPRESAS CONSIDERADO NA DECISÃO DE
OUTSOURCING.......................................................................................................................
093
V
4.5.22 – ADOÇÃO DE ALGUMA ESTRATÉGIA PARA O OUTSOURCING DE SERVIÇOS
DE SEGURANÇA DA INFORMAÇÃO .................................................................................
093
4.5.23
SEGURANÇA
DA
INFORMAÇÃO........................................................................................................................
095
–
ESCOPO
ADOTADO
NO
OUTSOURCING
DE
4.5.24 – FATORES QUE LEVARAM À DEFINIÇÃO DE REALIZAR O OUTSOURCING DE
SEGURANÇA DA INFORMAÇÃO.........................................................................................
095
4.5.25 – AVALIAÇÃO DE RISCOS DO OUTSOURCING....................................................
096
4.5.26 – RISCOS AVALIADOS...............................................................................................
097
4.5.27 – DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO X SEGURANÇA DA
INFORMAÇÃO SUBORDINADA A TECNOLOGIA DA INFORMAÇÃO.........................
098
4.5.28 – IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO X OUTSOURCING DE
PROCESSOS DE SEGURANÇA DA INFORMAÇÃO..........................................................
098
4.5.29 – SEGURANÇA DA INFORMAÇÃO SUBORDINADA A TECNOLOGIA DA
INFORMAÇÃO X OUTSOURCING DE PROCESSOS DE SEGURANÇÃO................
099
4.5.30 – ADOÇÃO DE ESTRATÉGIA PARA OUTSOURCING DE SI X BENCHMARK COM
OUTRAS EMPRESAS..............................................................................................................
099
4.5.31 – IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO X ESCOPO DO
OUTSOURCING DE SEGURANÇA DA INFORMAÇÃO.....................................................
100
4.5.32 – ADOÇÃO DE ESTRATÉGIA PARA O OUTSOURCING X ACESSO DE PESTADOR
DE SERVIÇOS A INFORMAÇÕES SENSÍVEIS....................................................................
101
4.5.33 – BENCHMARK COM OUTRAS EMPRESAS X ACESSO A PRESTADOR DE
SERVIÇOS A INFORMAÇÕES SENSÍVEIS..........................................................................
101
4.5.34 – AVALIAÇÕES DE RISCOS DE OUTSOURCING X ADOÇÃO DE ESTRATÉGIA
PARA O OUTSOURCING DE SI.............................................................................................
102
4.5.35 – ESCOPO DE OUTSOURCING DE SI X MODALIDADE DE OUTSOURCING....
102
4.5.36 – OUTSOURCING DOS PROCESSOS DE SEGURANÇA X AVALIAÇÃO DE
RISCOS......................................................................................................................................
103
4.5.37 – OUTSOURCING DOS PROCESSOS DE SEGURANÇA X ADOÇÃO DE
ESTRATÉGIAS DE OUTSOURCING.....................................................................................
104
4.5.38 – OUTSOURCING DOS PROCESSOS DE SEGURANÇA DA INFORMAÇÃO X
BENCHMARK COM OUTRAS EMPRESAS .........................................................................
104
4.5.39 – IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO X OUTSOURCING DE SI
REALIZADO JUNTO COM O OUTSOURCING DE TI.........................................................
105
4.5.40 – SEGURANÇA DA INFORMAÇÃO SUBORDINADA A TI X IMPORTÂNCIA DA
SEGURANÇA DA INFORMAÇÃO.........................................................................................
105
4.5.41 - OUTSOURCING DE PROCESSOS DE SEGURANÇA DA INFORMAÇÃO X ACESSO
ÀS INFORMAÇÕES SENSÍVEIS PELO PRESTADOR DE SERVIÇO................................
106
4.5.42 - IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO X ADOÇÃO DE
ESTRATÉGIA PARA O OUTSOURCING DE SI.................................................................... 106
4.5.43 – CONSIDERAÇÕES FINAIS ....................................................................................... 107
VI
CAPÍTULO V - CONCLUSÕES................................................................................. 109
5.1 – CONCLUSÕES...........................................................................................................................
109
5.2 – LIMITAÇÕES.............................................................................................................................
111
5.3 – CONTRIBUIÇÕES.....................................................................................................................
112
5.4 – SUGESTÕES PARA FUTURAS PESQUISAS.........................................................................
113
REFERÊNCIAS BIBIOGRÁFICAS........................................................................... 114
ANEXOS........................................................................................................................ 121
ANEXO 1- QUESTIONÁRIO.............................................................................................................
121
VII
INDICE DE TABELAS
TABELA 01
Objetivo geral, objetivos específicos e questões chaves..................... 003
TABELA 02
Dez fatores que levam ao outsourcing................................................ 016
TABELA 03
Variáveis dependentes........................................................................
057
TABELA 04
Alinhamento das dimensões, variáveis e escalas adotadas................
059
TABELA 05
Alinhamento das variáveis com as justificativas...............................
064
TABELA 06
Alinhamento das questões com as variáveis......................................
066
TABELA 07
Alinhamento das variáveis com os autores........................................
067
TABELA 08
Posição organizacional.......................................................................
078
TABELA 09
Tipo de organização...........................................................................
079
TABELA 10
Ramo de atividade..............................................................................
079
TABELA 11
Departamento de TI formalizado na organização..............................
080
TABELA 12
Departamento de segurança da informação.......................................
082
TABELA 13
Segurança da informação subordinada à TI........................................ 082
TABELA 14
Quantitativo de funcionários/empregados de SI................................. 082
TABELA 15
Amplitude da segurança da informação.............................................
083
TABELA 16
Importância da segurança da informação...........................................
083
TABELA 17
Outsourcing de processos, serviços ou atividades relacionadas à
Tecnologia....................................................................................................................... 083
TABELA 18
Modalidade de outsourcing................................................................. 084
TABELA 19
Outsourcing de processos de segurança da informação...................... 084
TABELA 20
Fatores de não realizar o outsourcing dos processos de segurança..... 085
TABELA 21
Medidas de tendência central e variabilidade....................................... 087
TABELA 22
Fatores de decisão de outsourcing de SI junto com o de TI............... 091
TABELA 23
Medidas de tendência central e variabilidade....................................... 092
TABELA 24
Benchmark com outras empresas.......................................................
TABELA 25
Adoção de estratégia para o outsourcing de SI................................... 093
TABELA 26
Fatores que levaram a definição de realizar o outsourcing de SI........ 096
TABELA 27
Avaliação de riscos do outsourcing..................................................... 097
TABELA 28
Riscos avaliados.................................................................................. 097
TABELA 29
Associação entre variáveis - Departamento de segurança da informação
093
X segurança da informação subordinada a tecnologia da informação............................ 098
TABELA 30
Associação entre variáveis - Importância da segurança da informação X
Outsourcing de processos de segurança.......................................................................... 099
VIII
TABELA 31
Associação entre variáveis - Segurança da informação subordinada a
tecnologia da informação X Outsourcing de processos de segurança............................. 099
TABELA 32
Associação entre variáveis - Adoção de estratégia para outsourcing de SI
X Benchmark com outras empresas................................................................................ 100
TABELA 33
Associação entre variáveis - Importância da segurança da informação X
Escopo do outsourcing de segurança da informação....................................................... 100
TABELA 34
Associação entre variáveis - Adoção de estratégia para o outsourcing X
Acesso a prestador de serviços a informações sensíveis................................................. 101
TABELA 35
Associação entre variáveis - Benchmark com outras empresas X acesso
de prestador de serviços a informações sensíveis........................................................... 101
TABELA 36
Associação entre variáveis - Avaliações de riscos de outsourcing x
Adoção de estratégia para o outsourcing de SI............................................................... 102
TABELA 37
Associação entre variáveis - Escopo de outsourcing de SI X Modalidade
de outsourcing................................................................................................................. 103
TABELA 38
Associação entre variáveis - Outsourcing dos processos de segurança X
Avaliação de riscos.......................................................................................................... 104
TABELA 39
Associação entre variáveis - Outsourcing dos processos de segurança X
Adoção de estratégias de outsourcing............................................................................. 104
TABELA 40
Associação entre variáveis - Outsourcing dos processos de segurança da
informação X Benchmark............................................................................................... 105
TABELA 41
Importância da segurança da informação x Outsourcing de SI realizado
junto com o outsourcing de TI........................................................................................ 105
TABELA 42
Segurança da informação subordinada a TI x Importância da Segurança
da Informação.................................................................................................................. 105
TABELA 43
Outsourcing de processos de segurança da informação x Acesso às
informações sensíveis pelo prestador de serviço............................................................. 106
TABELA 44
Importância da Segurança da Informação x Adoção de Estratégia para o
Outsourcing de SI............................................................................................................ 107
IX
INDICE DE FIGURAS
FIGURA 01
Processo de Investigação..................................................................... 005
FIGURA 02
Fatores que impulsionam a necessidade de terceirizar....................... 012
FIGURA 03
Disciplinas baseadas em teorias e questões chaves do outsourcing
FIGURA 04
Quatro elementos da avaliação estratégica......................................... 025
FIGURA 05
Estratégias do outsourcing.................................................................. 028
FIGURA 06
O ciclo de vida do Outsourcing..........................................................
033
FIGURA 07
Componentes do contrato de Outsourcing.........................................
037
FIGURA 08
Metodologia investigativa..................................................................
047
FIGURA 09
Inquérito por amostragem segundo Barañano.................................... 057
FIGURA 10
Desenho da pesquisa........................................................................... 075
015
X
INDICE DE GRÁFICOS
GRÁFICO 01
Totalização de respostas....................................................................... 077
GRÁFICO 02
Tipo de organização............................................................................. 079
GRÁFICO 03
Quantitativo de empregados................................................................. 080
GRÁFICO 04
Funcionários/Empregados de TI.......................................................... 081
GRÁFICO 05
Fatores de não realizar o outsourcing dos processos de segurança..... 087
GRÁFICO 06
Modalidade de outsourcing de Segurança da informação................... 088
GRÁFICO 07
Processos e serviços terceirizados......................................................
GRÁFICO 08
Acesso a informações sensíveis........................................................... 090
GRÁFICO 09
Outsourcing de SI junto com o de TI.................................................. 091
GRÁFICO 10
Escopo de outsourcing de Segurança da Informação.......................... 095
089
XI
SIGLAS E ACRÓNIMOS
ABNT
Associação Brasileira de normas técnicas
ANS
Acordos de Níveis de Serviço
BPO
Business Process Outsourcing
BS-7799
Brithish Standart 7799
CCTA
Computer and Telecommunications Agency
CMM
Capability Maturity Model
Cobit
Control Objective of Information and Related Technology
eSCM-SP The eSourcing Capability Model for service Provides
eSCM-CL The eSourcing Capability Model for Client Organizations
IDS
Intrusion Detection System ou sistema de detecção de invasão
IEC
International Electrotechnical Commission
IPS
Intrusion Prevention System ou sistema de prevenção de invasão
ISACA
Information Systems Audit and Control Association ®
ISMS
Information Security Management System
ISO
International Organization for Standardization
IT
Information Tecnology
ITO
IT Outsourcing
ITGI
IT Governance Institute
ITIL
Information Technology Infrastruture Library
ITSM
Information Technology Service Management
KPI
Key Performance Indicator
NBR
Denominação de norma da Associação Brasileira de Normas Técnicas (ABNT)
NOC
Network Operation Center
MSS
Managed Security Services (Serviços Gerenciados de Segurança)
RFI
Request for Information
RFP
Request for Proposal
ROI
Return On Investment
SGSI
Sistemas de Gestão de Segurança da Informação
SI
Segurança da Informação
SLA
Service Level Agreement
SLM
Service Level Management
SLO
Service Level Objective
XII
SOC
Security Operation Center
SOW
Statements of work
TCO
Custo Total de propriedade
TI
Tecnologia da Informação
TIC
Tecnologia da Informação e Comunicação
XIII
CAPÍTULO I - INTRODUÇÃO A PROBLEMÁTICA DA INVESTIGAÇÃO
1.1 - INTRODUÇÃO
Na busca da excelência em gestão e otimização de processos, várias empresas buscaram a
terceirização como um meio de operar com eficiência para atingir os objetivos de negócio.
Reduzir custos é um dos grandes desafios atuais para as corporações e ao mesmo tempo
um grande passo na melhoria da sua competitividade perante o mercado.
Operar com eficiência significa monitorar, supervisionar e gerenciar em todos os níveis,
não só operacional, mas também o de atendimento aos requisitos de negócio. Isso pode
acarretar em gasto de energia e talento com tarefas que não fazem parte do foco principal
de atuação da maioria das empresas.
Nesta mesma linha de pensamento, a Tecnologia da Informação (TI) também possui esta
mesma necessidade. Com o aumento das despesas, os orçamentos operacionais estão
diminuindo e o trabalho torna-se mais complexo devido à necessidade de especialização.
Vimos através da última década, departamentos de TI de grandes empresas privadas
buscando o outsourcing ou terceirização, como uma solução para manter a operação de
suporte aos negócios. Tais iniciativas têm se tornando uma das tendências mais sustentadas
do negócio concorrente segundo Fill e Visser (2000).
Agora porém, a mesma tendência de outsourcing ou terceirização esta sendo utilizada para
os processos de Segurança da Informação (SI) de grandes empresas com uma forma de
buscar maior foco ou prioridade no que realmente é importante para a organização.
Porém, segundo Karabulut et al. (2007), nesta tendência não são determinados como os
dados e outros ativos da empresa devem ser protegidos.
Passar a terceiros atividades consideradas não estratégicas parece um caminho sem volta,
mas quando se trata de processos de segurança da informação o assunto deve ser melhor
observado devido ao fato de tais processos manipularem informações sensíveis a
organização.
Por este motivo é imprescindível cumprir etapas importantes como a definição da
estratégia do que terceirizar, a transição das atividades e processos, definir o que pode não
ser terceirizado, definir os requisitos de contratos, definir os acordos de confidencialidade,
1
definir entregas, definir os Acordos de Níveis de Serviço (ANS) adequados e os critérios
de medição de atendimento.
1.2 - RELEVÂNCIA, OBJETIVOS E QUESTÕES DA INVESTIGAÇÃO
É evidente que a maioria das empresas se preocupam com seus processos de outsourcing
porém, na prática, não é dada a devida atenção aos processos de segurança da informação
pois são tratados como mais um dos vários processos de TI. Poucas são as empresas que
dão importância ao assunto devido à falta de entendimento, experiência, capacitação ou
falta de preocupação com os riscos relacionados.
Importante ressaltar que existem informações relacionadas com o tema em algumas
bibliografias e que servem de ajuda, porém a maioria do conhecimento é internalizado em
profissionais experientes que trabalham ou prestam serviço em empresas que possuem
outsourcing de processos de segurança da informação.
O assunto em questão é relativamente pouco investigado e neste contexto encontra-se
pouca literatura para consulta, sendo que a maior parte foi realizada através de artigos,
livros e treinamentos relacionados a terceirização de tecnologia da informação. A carência
de estudos e pesquisas na referida questão é, em especial, ainda mais acentuada no que se
refere a informações referentes as estratégias adotadas e os resultados obtidos. A
necessidade de estudos desta natureza fundamenta-se principalmente devido ao
crescimento de empresas privadas que estão terceirizando suas operações de segurança da
informação e que suportam os processos de negócio.
A determinação do que deve ser terceirizado é identificado como um ponto de atenção e a
medida em que as operações são terceirizadas podem ser utilizadas para novas pesquisas.
Assim, a questão de "o que terceirizar” continua a ser uma das principais questões,
especialmente no âmbito da investigação de gestão estratégica de acordo com Hätönen e
Eriksson (2009).
Tendo em vista a real importância do sistema de gestão de segurança da informação para a
empresa, é natural que se busque garantir a sua eficiência e eficácia principalmente quando
se tratando com prestadores de serviço que tem o controle das operações de segurança da
informação e de TI.
2
Durante a fase de outsourcing são estudadas as formas e condições que devem atender as
necessidades da organização e o nível de segurança para cada serviço descrito. Uma forma
de se buscar uma condição satisfatória é a definição de estratégias de outsourcing das
operações de segurança da informação.
Então, como podemos realizar um outsourcing das operações de segurança da informação
garantindo a confidencialidade, integridade e disponibilidade das informações e dos
processos organizacionais? Como garantir que os requisitos acordados estão sendo
cumpridos e que são eficazes? E por fim, como estabelecer metas e métricas para controlar
as expectativas de ambas as partes?
O presente estudo tem os seguintes objetivos:
TABELA 01 – Objetivo geral, objetivos específicos e questões chaves.
OBJETIVO GERAL
Identificar as organizações brasileiras que possuam um sistema de gestão de
segurança da informação, um departamento de segurança da informação ou
processos associados a segurança da informação, departamento de
tecnologia, que possuam outsourcing de partes ou de todos os
processos/atividades relacionadas a segurança da informação.
OBJETIVOS
ESPECÍFICOS
• Identificar a importância da segurança da informação para a organização;
• Identificar se os processos e atividades de segurança da informação são
subordinados a área de tecnologia da informação;
• Identificar se as organizações estão realizando o outsourcing das
atividades relacionadas a segurança da informação;
• Identificar se o outsourcing de segurança da informação é realizado junto
com o outsourcing de tecnologia da informação;
• Identificar se é realizado algum tipo de benchmark com outras
organizações como apoio na tomada de decisão;
• Identificar as modalidades, escopo e estratégias de outsourcing adotadas;
• Identificar se foram realizadas avaliações de riscos para ajudar na
definição do outsourcing;
• Identificar os fatores que levaram a definição de realizar o outsourcing de
Segurança da informação.
QUESTÕES
• As organizações possuem insourcing, outsourcing ou fulloutsourcing dos
processos de segurança da informação?
• Quais fatores condicionantes levaram ao insourcing, outsourcing ou
fulloutsourcing dos processos de segurança da informação?
• Quais estratégias, métodos, ou critérios foram adotadas para a realização
do outsourcing das operações de segurança da informação, ou seja, como
o outsourcing foi realizado?
• As organizações avaliaram os riscos inerentes ao outsourcing adotado?
• Quais os principais riscos estão associados ao outsourcing das operações
de segurança da informação?
3
QUESTÕES CHAVE
• Questão 01: As organizações têm realizado o outsourcing das atividades
de segurança da informação junto com o outsourcing de TI com o objetivo
de redução de custos e pela facilidade de gerenciamento de um único
fornecedor não levando em consideração a criticidade dos processos
relacionados a segurança da informação.
• Questão 02: As organizações não têm realizado nenhum tipo de avaliação
de riscos para o processo de outsourcing das atividades relacionadas a
segurança da informação de forma a considerarem os principais riscos e
impactos de repassar atividades e processos para uma empresa
subcontratada.
• Questão 03: As organizações não têm uma estratégia definida quanto a
quais atividades de segurança da informação terceirizar deixando de
considerar a criticidade dos processos envolvidos.
• Questão 04: Ao realizar o outsourcing das atividades de segurança da
informação, o escopo ou estratégia adotada para o outsourcing, não são
levados em consideração a importância da segurança da informação para a
organização.
• Questão 05: O fato do prestador de serviço ter acesso a informações
sensíveis da organização não afeta a definição de adoção de uma
estratégia de outsourcing.
O presente estudo tem as potenciais limitações:
1 - Preocupação das empresas entrevistadas no compartilhamento de informações sensíveis
relativas aos contratos.
2 - Falta de disponibilidade dos entrevistados.
1.3 - ESTRUTURA DA INVESTIGAÇÃO
Para que uma investigação produza ciência torna-se necessário estruturá-la de forma a
transmitir a informação certa. É importante estruturar e definir etapas estabelecendo assim
um fio condutor desde um conjunto de reflexões iniciais até uma série de expectativas
futuras e considerações finais (Rodrigues, 2007).
Primeira etapa – seleção por parte do investigador do tema a pesquisar. O tema pode ser do
interesse do investigador aumentando a probabilidade de sucesso da investigação.
No Capítulo I encontramos a delimitação da investigação descrevendo a introdução, a
relevância do tema, os objetivos específicos que se pretendem atingir, a problemática,
questões da investigação e estrutura da investigação.
No Capítulo II é constituído enquadramento teórico em torno do tema, destacando a
origem do outsourcing e a tendência relacionada a segurança da informação. Tem como
4
objetivo identificar informações específicas relacionadas ao tema; aprofundar os
conhecimentos e agrupar idéias.
No Capítulo III abordaremos a metodologia da investigação constituída pelo desenho da
investigação, pelos objetivos da investigação, pelas questões da investigação e pelos
métodos adotados na investigação.
No Capítulo IV será realizada a análise dos resultados obtidos em consequência dos dados
primários recolhidos através das técnicas de inquérito.
E por fim, no Capítulo V, abordaremos as principais conclusões desta investigação. Das
conclusões apresentadas esperamos que estas possam contribuir para uma melhor
compreensão das estratégias adotadas pelas organizações quanto a realização de
outsourcing das atividades relacionadas a segurança da informação. O capítulo termina
procedendo a algumas recomendações de atuação futura aos diferentes atores que medeiam
todo o processo investigado, sugerindo por fim as linhas de futuras investigações.
CAPÍTULO II
ENQUADRAMENTO TEÓRICO
(levantamento dos fundamentos teóricos)
CAPÍTULO I
INTRODUÇÃO A PROBLEMÁTICA DA
INVESTIGAÇÃO
(Introdução, relevância e objetivos específicos)
CAPÍTULO III
METODOLOGIA DA INVESTIGAÇÃO
CAPÍTULO IV
APRESENTAÇÃO E COMENTÁRIOS AOS
RESULTADOS OBTIDOS DOS DADOS
RECOLHIDOS
CAPÍTULO V
CONCLUSÕES
REFERENCIAS BIBLIOGRÁFICAS
ANEXOS
FIGURA 01 – Processo de Investigação
5
CAPÍTULO II – ENQUADRAMENTO TEÓRICO
2.1 – OUTSOURCING (TERCEIRIZAÇÃO)
Em toda a literatura especializada a terceirização é sempre destacada como a melhor
maneira de uma empresa concentrar seus esforços e talentos em suas atividades de maior
objetivo. Ou seja: concentrar todo o seu potencial para fazer com que a empresa seja bemsucedida no objetivo de realizar sua missão, deixando as atividades que para ela são
periféricas, a cargo de outras empresas cujo objetivo principal seja realizar aquele trabalho
que para a primeira não é a atividade fim. Esta dinâmica possibilitou a criação de muitas
empresas que nasceram especialmente para se dedicar ao desenvolvimento de tarefas que
para muitas outras são atividades secundárias.
Há um crescimento na quantidade de outsourcing (Perçin, 2008). O Business Process
Outsourcing (BPO) é uma prática de gestão amplamente aceita que consiste em transferir
um ou mais processos de negócios da empresa, tais como a demanda de serviços de gestão
e operações, para um provedor externo, que em contrapartida, fornece os processos de
acordo com algumas métricas predefinidas.
Alguns pesquisadores costumam tratar BPO como a extensão do outsourcing de TI. A
principal diferença entre eles é que BPO trabalha a melhoria e atualização de processos de
negócios, recursos humanos e tecnologia, enquanto o outsourcing de TI tem como objetivo
conter e reduzir as despesas de TI.
O BPO continua a proliferar em empresas privadas, agências governamentais e outras
organizações pois tais organizações procuram reduzir seus custos (Axelrod & Sukumar,
2011).
Segundo Lacity et al. (2009), existem muitas outras tendências emergentes de outsourcing
incluindo business process outsourcing (BPO), prestação de serviços de aplicação e
sistemas, rural sourcing e certificações de profissionais de outsourcing.
Gwebu, Wanga e Wang (2010) confirmam que a força vital das organizações empresariais
contemporâneas está sendo terceirizada a uma velocidade sem precedentes e escala.
De acordo com Craig e Tinaikar (2006) o papel de fornecedora de serviços está associado
às capacidades mínimas necessárias para manter os negócios da contratante. Tais serviços
exigem capacitações de baixo risco, necessários somente para manter o negócio no
6
mercado, por isso mesmo, são investimentos de risco mínimo. Por serem de risco mínimo
e, teoricamente, de retorno razoável, são o tipo de investimento preferido pelos executivos.
O aumento da concorrência nos mercados de terceirização tem causado uma mudança para
os mercados compradores, possibilitando que empresas de todos os tamanhos em quase
todas as indústrias para capitalizar sobre as fontes externas de conhecimento e capacidades
(Hätönen & Eriksson, 2009).
O atual ambiente altamente competitivo também pode ser referido como uma economia de
outsourcing, que é caracterizada por um foco maior nas atividades core da organização e
simultânea alavancagem de recursos externos, habilidades, conhecimentos, capacidades e
competências de acordo com Hätönen e Eriksson (2009).
De acordo com Gonzalez, Gasco e Llopis (2005) o conceito tradicional de empresa, em
que as atividades da cadeia de valor são realizadas internamente está sendo substituído pela
ideia de uma organização em rede ou até mesmo uma organização virtual, em que as
operações cada vez menos são realizadas dentro da empresa. Apenas as funções que geram
valor agregado e representam competitividade devem ser realizadas internamente, o resto
das funções são terceirizados. Algumas das atividades em que a maioria das empresas
muitas vezes opta por terceirização, atualmente, são as relacionadas com a gestão da
informação.
Nas últimas décadas as empresas têm seguido a tendência de terceirizar sucessivamente
sua cadeia de valor. Da mesma forma, nos últimos anos tem havido uma tendência de
terceirização de Tecnologia da informação, uma tendência única e sem precedentes, que
incluiu o processo de negócio (Antelo & Bru, 2010).
Segundo Gottfredson, Puryear e Phillips (2005) a globalização, auxiliada pela rápida
inovação tecnológica, está mudando a base da competição. A capacidade de controlar e
tirar o máximo das capacidades críticas da organização é o que importa. Segundo os
autores, maior foco na capacidade de abastecimento pode melhorar a posição estratégica de
uma empresa, reduzindo custos, agilizando a organização e melhorando a qualidade do
serviço. Encontrar parceiros qualificados para fornecer funções críticas normalmente
permite que as empresas melhorem suas capacidades essenciais que orientam a vantagem
competitiva em seus setores.
7
2.1.1 - Conceitos sobre outsourcing
Existem inúmeras correntes de pesquisa por trás da definição do conceito de terceirização.
Devido a esta diversidade científica, o conceito tem-se mantido bastante diferenciado.
A terceirização, outsourcing e particularmente o offshore, podem ser usados para se referir
a estratégias muito distintas conforme Harland, Knight, Lamming e Walker (2005).
Maskell, Pedersen, Petersen e Dick-Nielsen (2005) identificaram três correntes principais
na literatura que se relacionam com a estratégia de outsourcing. Estes três, porém, têm suas
próprias características específicas: a literatura de gestão estratégica, a literatura da cadeia
de suprimentos e a literatura de negócios internacionais.
Rodrigues e Pamplona (2007) definem como sendo terceirização “a transferência de
segmento ou segmentos do processo de produção da empresa para outras de menor
envergadura, porém de maior especialização na atividade transferida”.
Ellram e Billington (2001) e Varadarajan (2009) definem a terceirização como à prática de
uma empresa de confiar a uma entidade externa o desempenho de uma atividade que foi
realizada internamente.
Atualmente a literatura de negócios entende o outsourcing como a utilização de recursos
externos para realizar funções ou processos que tenham sido anteriormente realizadas
internamente. A definição de terceirização pode ser vista de duas perspectivas: do produto
e do processo (Hätönen & Eriksson, 2009).
Do ponto de vista do processo, conforme definido por Barthelemy (2003), terceirização
pode ser visto como a entrega de todo ou parte de uma atividade organizacional ou
processo para um fornecedor externo. A partir do ponto de vista produtivo, a terceirização
é "a transferência da produção de bens ou serviços que haviam sido realizadas
internamente para uma parte externa”.
Munoz e Welsh (2006) entendem o outsourcing como uma estratégia de gestão pelo qual
uma grande organização delega funções para fornecedores de serviços especializados e
eficientes que estão preparados com a dinâmica de mudança em que as organizações se
encontram.
Para questões de conhecimento, Friedman (2005) compara a terceirização com offshoring.
Ele comenta que a terceirização é a transferência de funções que uma empresa faz
8
internamente para outra empresa realizar a mesma tarefa, enquanto offshoring está
movendo uma fábrica inteira ou empresa para outro local.
O outsourcing
envolve uma decisão sobre o limite de uma organização, enquanto
offshoring envolve uma decisão sobre a localização de suas atividades (Robertson, Lamin,
& Livanis, 2010).
A terceirização de sistemas de informação significa que recursos físicos e ou humanos
relacionados às tecnologias de uma organização vão ser prestados e ou geridos por um
fornecedor externo especializado. A situação pode ser temporária ou permanente, e pode
afetar toda a empresa cliente ou apenas uma parte dela.
Desta forma, um conceito amplamente difundido é o outsourcing como sendo um processo
similar ao de terceirização, porém focado em tecnologia. Em outras palavras, pode ser
definido como a terceirização da mão de obra qualificada ou de ambientes tecnológicos,
como é o caso do departamento de Tecnologia da Informação e Segurança da Informação.
O outsourcing com um único provedor é chamada de fulloutsourcing. É considerada como
uma estratégia de alto risco. Já o outsourcing com vários provedores é chamado de
multsourcing e o risco é menor pois e compartilhado entre dois ou mais provedores de
serviço.
O fulloutsourcing são projetos normalmente complexos e arriscados. São projetos de longo
prazo devido à quantidade de trabalho necessário a ser terceirizados e, portanto, os
benefícios são colhidos a longo prazo. O fulloutsourcing pode ser um problema se não
houver a compreensão clara da magnitude e do alcance no momento da assinatura do
contrato. O fulloutsourcing só deve ser perseguido pelas organizações que tiveram
experiência com projetos menores de outsourcing. Um esforço de outsourcing total, sem
experiência adequada, pode ser desastroso (Power, Desouza, & Bonifazi, 2006).
O fulloutsourcing possui algumas vantagens como por exemplo, a gestão centralizada
focada em apenas uma das partes e menor custo em termos de gestão. Já relacionadas as
desvantagens, pode-se citar o custo da transição para um novo fornecedor, como o novo
fornecedor exigirá maiores recursos para aprender sobre o seu negócio e, em seguida, para
se adequar aos serviços, acrescenta o autor.
9
Um risco associado ao fulloutsourcing é que expõe uma organização a riscos em caso de o
fornecedor não entregar os serviços acordados. Além disso, a organização pode se
encontrar em uma situação que obrigatoriamente estará dependente da prestadora de
serviços. A prestadora de serviços terá tanto conhecimento sobre o seu negócio que o custo
de obter um um novo fornecedor é suficiente para intimidá-lo a investir tempo e esforço
necessários para doutrinar novos fornecedores (Power et al., 2006).
Já o multisourcing é quando se terceiriza funções para mais de um fornecedor. O
multisourcing envolve dividir o projeto em vários componentes que podem ser
manuseados por fornecedores independentes e normalmente ocorre durante um projeto de
fulloutsourcing.
Relacionadas as vantagens de se adotar esta opção é que encoraja a concorrência entre os
fornecedores e cria um objetivo comum para executar as atividades em um nível elevado.
Isto é porque os vendedores temem perder o negócio para outro fornecedor. São ideais
quando o item que está sendo terceirizado é de natureza sensível. A organização tem
conhecimento sobre o sistema como um todo, sendo terceirizados as atividades de forma
individuais ou em componentes.
Fornecedores são, então, solicitados a trabalhar em cada componente de forma
independentemente, portanto, impedindo-os de saber sobre a arquitetura total do sistema
ou do processo. Além disso, no caso de haver qualquer violação de segurança a um dos
componentes ou processos, a extensão do dano será limitada a um componente, em vez de
todo o sistema. Desta forma o multisourcing só pode ser empregado quando é possível
quebrar os processos em partes independentes que podem ser trabalhados por prestadores
de serviço diferentes.
Porém existem algumas desvantagens. Muitas vezes resulta em mais licitações a partir de
múltiplos fornecedores. Além disso, o multisourcing exige maior gestão de fornecedores
exigindo um processo eficiente e procedimentos para estabelecer e gerenciar vários
prestadores de serviço. Em um acordo de multisourcing a organização tem o ônus de
integrar os diversos componentes ou processos de trabalhos de diversos fornecedores e
depois uni-los.
Referente ao multisourcing, ele equilibra o risco porque a organização não está "colocando
todos os ovos na mesma cesta" ou seja, centralizando todos os processos em um único
10
fornecedor. Neste caso se um fornecedor não está realizando o serviço contratado, a
organização pode mover os serviços para outro fornecedor que já está envolvido no
processo (Power et al., 2006).
Segundo Melo e Marques (2011) “os conceitos de outsourcing apresentados por estudiosos
do assunto seguem uma mesma linha de definição. Em alguns casos, existem definições
que conotam particularidades de acordo com o estudo realizado por cada autor, porém,
observa-se que tais particularidades não influenciam no significado da palavra de origem
inglesa que significa terceirizar” e acrescenta que outsourcing é sinônimo de terceirização.
2.1.2 - Razões e objetivos de um outsourcing
As razões iniciais para a adoção do outsourcing estão relacionadas a problemas específicos
que são vividos pela organização. Porém o objetivo do outsourcing tem mudado para
abranger questões relacionadas ao desempenho dos negócios e objetivos estratégicos da
organização (Prado, 2009).
O autor destaca a necessidade de maior disponibilidade dos serviços, para atender às
operações da organização e a necessidade de maiores cuidados com a segurança da
informação. Essas necessidades requerem investimentos em infraestrutura e conhecimento
específico que deve ser continuamente atualizado. Por essa razão, são serviços que podem
ser melhor atendidos por fornecedores especializados ou que possuem economias de escala
para a prestação do serviço.
Power et al. (2006), detalha na figura 2 outros fatores que estão influenciando as empresas
a considerar a terceirização como uma estratégia de negócio.
11
Acesso a
recursos e
conhecimento
s
Aumento da
força de
trabalho
global do
conhecimento
Foco nas
competências
essenciais
fatores que
impulsionam a
necessidade
de terceirizar
Aumento da
sofisticação
em TI
Economia de
custos
Difusão global
de
conhecimento
FIGURA 02 - Fatores que impulsionam a necessidade de terceirizar (Power et al., 2006).
Um dos principais benefícios de realizar o outsourcing é que o parceiro permite que a
organização se concentre em seus negócios em vez de se preocupar com a mecânica de
garantir a segurança operacional.
Raiborn et al. (2009) confirmam a afirmação anterior comentando que a terceirização de
serviços permite às empresas eliminar a distração de gestão de uma função periférica e,
assim, desenvolver a longo prazo competências essenciais que proporcionam uma
vantagem competitiva. As empresas podem se concentrar em melhorar a qualidade, a
satisfação do cliente e a capacidade de resposta, uma vez que a empresa está livre para se
concentrar em competências estratégicas.
De acordo com Hätönen e Eriksson (2009) o outsourcing busca reduzir os custos
operacionais. Busca recursos e competências melhores ou ganhos de flexibilidade
operacional.
Robertson et al. (2010) acrescentam ainda que ao reduzir os custos, as organizações
ganham a capacidade de melhorar a eficiência operacional, aumentam o retorno sobre os
ativos e melhoram a rentabilidade.
12
Tanto Lacity et al. (2009) como Prado (2009) confirmam a afirmação acima e acrescentam
que as empresas terceirizam principalmente para reduzir custos, recursos e concentrar os
recursos internos na estratégica da organização.
Outra vantagem mencionada por Thouin et al. (2009) é a eficiência de custos associados
com a terceirização devido às economias de escala e de experiência, devido ao fato de que
o prestador de serviço é especializado em TI e que pode fornecer bons níveis de serviço a
um custo menor, além de trazer padronização e escalabilidade.
Varadarajan (2009) menciona que, enquanto grande parte da discussão relativa à
terceirização é focada no custo de realizar uma atividade, há situações em que o custo pode
não ser a principal consideração nas decisões de uma empresa. A alta necessidade de
conhecimento pode ser um fator condicionante.
De acordo com Thouin et al. (2009), a terceirização foi associada com níveis mais
elevados de produtividade e lucratividade. Uma das vantagens da terceirização de TI é que
ela permite que uma organização foque nas suas competências em vez de funções
administrativas, uma vez que a maioria de tais atividades não fazem parte de uma
competência central da maioria das organizações
Bhattacharya, Behara e Gundersen (2003) comentam que a decisão de terceirização é
motivada mais por influência interna (ou comportamento imitativo) do que por influência
externa. Mencionam que pesquisas anteriores sugerem várias razões para as empresas
realizarem o outsourcing. Estes drivers podem incluir razões financeiras, tais como
redução de custos, geração de caixa, e substituição de gastos de capital com pagamentos
periódicos.
De acordo com o autor as empresas também terceirizam a fim de simplificar a sua gestão e
para renovar o foco em suas competências essenciais na estrutura organizacional. As
razões técnicas para o outsourcing podem ser a melhoria da qualidade, acesso a novos
talentos e a novas tecnologias. Razões políticas incluem insatisfação com a prestação de
serviço interno, insatisfação do diretor de informática, impacto de incidentes no dia a dia
dos usuários, a pressão dos fornecedores e um desejo de seguir tendências de mercado.
Dutra, Saratt e Pires (2008) afirmam também que o processo de terceirização vem
evoluindo constantemente e que isso pode ser comprovado pelo intensivo processo de
terceirização. Tomadas as devidas precauções, aparecem vantagens tais como: redução
13
estrutural de custos; integração da empresa na sociedade; redefinição do negócio; novas
vocacionalidades;
redimensionamento
do
enquadramento
sindical;
flexibilização
contratual; substituição do emprego por serviço e revisão tributária.
De acordo com o Outsourcing Institute (www.outsourcing.com) descobriu-se através de
pesquisas que as dez maiores razões das empresas terceirizarem foram: reduzir e controlar
os custos operacionais, melhorar o foco da empresa, ter acesso a recursos de classe
mundial, liberar recursos internos para outros fins, os recursos não estão disponíveis
internamente, acelerar benefícios da reengenharia, função ou atividades difíceis de gerir ou
de controlar, fundos de capital disponível, compartilhamento de riscos.
Gwebu et al. (2010) acrescentam que as empresas são capazes de perceber os benefícios
econômicos da redução de custos com o outsourcing, porém não conseguem medir os
benefícios em eficiência.
Gonzalez et al. (2005) acrescentam que o uso de comunicações mais baratas, evolução da
tecnologia, a Internet, a globalização econômica e o fácil acesso a profissionais de TI com
salários mais baixos são também outros fatores que levam a organização a optar pelo
outsourcing.
Segundo Karyda et al. (2006), as razões pelas quais as empresas se voltam para o
outsourcing são primariamente financeiras pois elas incluem expectativas da taxa de
melhoria do retorno sobre os investimentos comumente chamado de Return On Investment
(ROI), custo reduzido e economia de escala que não poderiam ser realizados internamente.
A terceirização permite que uma empresa não só corte custos, mas também foque em suas
principais competências e ajude a acelerar a inovação em seus processos (Lee & Kim,
2010).
Ao terceirizar suas funções as organizações também têm um melhor acesso ao
conhecimento especializado, melhores práticas, serviços de melhor qualidade, capacidade
de continuidade de negócios em caso de incidentes críticos e flexibilidade na atualização
tecnológica.
A contratação de mão de obra especializada pode ser realizada remotamente e em diversos
países permitido assim facilidade no acesso a conhecimento especializado, acrescenta
Varadarajan (2009).
14
Além disso, as empresas esperam obter maior competitividade e uma oportunidade de
concentrar seus esforços e usar seus recursos em sua atividade principal. As organizações
em diferentes indústrias são susceptíveis de ter diferentes motivos para a terceirização de
suas funções. Desta forma, um fator importante para a decisão de outsourcing é a
necessidade de melhorar o desempenho.
Pesquisas identificaram três principais motivos para a terceirização. O primeira destas
preocupações esta associada a redução de custos, incluindo redução de custos operacionais,
controle dos custos e liberação de recursos para unidades de negócios mais rentáveis. A
segunda diz respeito à melhoria dos processos, bem como a necessidade de se concentrar
sobre as competências essenciais: para ganhar flexibilidade através da reorganização
interna, para acelerar projetos, reduzir o tempo de mercado, obter acesso a uma força de
trabalho flexível e aguçar o foco do negócio. Em terceiro lugar, a melhoria da capacidade
inclui a obtenção de acesso a recursos que não estão disponíveis internamente e de trabalho
altamente qualificados, melhorando a qualidade do serviço, a aquisição de inovações,
compensando a falta de habilidades internas e ganhando acesso a novas tecnologias
(Hätönen & Eriksson, 2009).
Veja a figura 03 para um resumo das questões de pesquisa dos autores acima.
FIGURA 03 - Disciplinas baseadas em teorias e questões chaves do outsourcing (Hätönen & Eriksson, 2009).
15
A questão de "o que terceirizar” continua sendo uma das principais questões no âmbito da
investigação de gestão estratégica (Hätönen & Eriksson, 2009).
Além de vulnerabilidades tecnológicas, segundo Khalfan (2004), as organizações estão
enfrentando um risco devido a uma ausência de medidas de segurança.
Prado (2009) resume os dez fatores que levam ao outsourcing:
TABELA 02 – Dez fatores que levam ao outsourcing (Prado, 2009).
Redução de Custo
Abrange desde a redução do custo de mão de obra, aquisição e manutenção de
hardware e software, até a redução de investimentos. Inclui-se aqui uma melhor
previsão de custos, que evita despesas não planejadas e acaba por reduzir custos
no longo prazo.
Acesso ao
Este fator representa as motivações associadas à evolução tecnológica na
Conhecimento e a
Departamento de Tecnologia da informação e Comunicação (TIC) e o acesso ao
Tecnologia
conhecimento especializado que a empresa não possui e não deseja possuir.
Flutuação na carga de
Compreende as motivações das organizações em buscar, através de terceiros,
Trabalho
mão de obra para atividades com demanda variável, atendendo melhor a
empresa nas atividades cuja flutuação na carga de trabalho não exija um quadro
de pessoal permanente.
Melhoria na qualidade
A motivação deste fator é a busca pela melhoria na prestação de serviços à
de prestação de Serviço
organização com melhoria de produtividade da Departamento de TIC.
Atividades Rotineiras
Este fator representa as motivações por terceirizar as atividades rotineiras
executadas pelo departamento de TIC.
Dificuldades na gestão
Neste fator estão as motivações ligadas às dificuldades em recrutar e gerenciar
de Recursos Humanos
os recursos humanos do departamento de TIC.
Atividades com alto grau
Este fator representa as motivações das organizações em terceirizar as atividades
de particularidade
que possuem alta particularidade e baixa frequência.
Maior disponibilidade
A adoção cada vez maior da TIC e o uso frequente da Internet por parte das
organizações criou um ambiente fortemente dependente desta tecnologia,
obrigando as organizações a considerar a disponibilidade de seus recursos de
TIC como um fator importante.
Necessidade de melhoria
O uso frequente da Internet e a integração cada vez maior das organizações com
na segurança das
seu ambiente aumentaram as preocupações com questões de segurança. Essas
informações
preocupações incluem não só o acesso indevido e não autorizado, mas todos os
aspectos relacionados à segurança da informação.
Imposições externas
Representa as imposições ou pressões externas à organização, geralmente
proveniente de fornecedores, clientes ou da corporação à qual a organização
pertence.
16
2.1.3 - Outsourcing versus Tecnologia da Informação
De acordo com Kshetri (2007) o outsourcing de TI é definida como a subcontratação de
funções de TI com fornecedores externos.
Smith e Mckeen (2006) comentam que a tendência dos próximos anos é da TI aumentar
sua flexibilidade pela maior adaptação de suas atividades, processos, estrutura e aos
interesses dos negócios. Desta forma os executivos de TI passariam a ser mais estratégicos
passando a contribuir mais para a formulação das estratégias de negócio em suas empresas.
Khalfan (2004) menciona que o outsourcing de TI pode ser considerado uma inovação
administrativa significativa, onde há uma mudança significativa no modo de governança e
mudança significativa nos processos internos das organizações.
O autor acrescenta que a terceirização é um termo que engloba uma variedade de
abordagens para a contratação de serviços de TI e SI. O outsourcing leva a mudanças
significativas na gestão de processos da organização. Para que as organizações mantenham
sua vantagem competitiva, decisões de negócios devem ser baseadas em informações
precisas, completas e acessíveis. No entanto, o autor questiona como pode-se esperar que
os Departamentos de TI acompanhem o ritmo sempre mutável dos requisitos de segurança,
especialmente considerando a taxa sem precedentes de mudança de tecnologia da
informação (Khalfan, 2004).
Acrescentando, Thouin et al. (2009) menciona que quando os custos de transação são
baixos as empresas que terceirizam um número maior de serviços de TI terão desempenho
financeiro superior.
Segundo Rodrigues et al. (2009) a TI é vista dentro da organização na maioria das vezes
como fornecedora de serviços. Haja vista que a TI foca basicamente as questões de
informação para a empresa mas mantém-se afastada ou à distância dos negócios, o que tem
mudado nos últimos anos.
Em seu estudo, Rockart et al. (1996) mostraram a importância da terceirização de TI como
uma forma de obtenção de competências que as empresas não têm. Destacaram a diferença
entre decidir sobre outsourcing de TI e de fazê-lo funcionar corretamente após a decisão.
Os desenvolvimentos tecnológicos podem ser um direcionador para a tomada de decisão de
um outsourcing. Durante a última década, tal desenvolvimento permitiu que as empresas
17
alcançassem um custo significativo através do outsourcing de uma nova gama de processos
de negócios e serviços. Pode-se citar como exemplo a comunicação através de texto e voz
e o processamento de informações (Varadarajan, 2009).
2.2 – SEGURANÇA DA INFORMAÇÃO
De acordo com Martins e Santos (2005), o processo de definição de regras e padrões de
segurança iniciou-se na década de 60 (com o impulso da Guerra Fria), culminando com a
publicação, no final do ano de 2000, da norma internacional de segurança da informação
ISO/IEC-17799, a qual possui uma versão aplicada aos países de língua portuguesa,
denominada NBR ISO IEC 17799:2005. O objetivo desta norma é fornecer recomendações
para gestão da segurança da informação para uso por aqueles que são responsáveis pela
introdução, implementação ou manutenção da segurança em suas empresas.
Segundo Mamede (2006), a preocupação inicial com a segurança informática não é
recente, existiu desde o inicio da utilização de meios automáticos para o tratamento e
armazenamento da informação, sendo essa segurança inicialmente relacionada apenas com
questões de disponibilidade e proteção física do meio ambiente.
Segundo a NBR ISO IEC 17799:2005, informação é um ativo que, como qualquer outro
ativo importante, é essencial para os negócios de uma organização e consequentemente
necessita ser adequadamente protegida. Desta forma a segurança da informação é a
proteção da informação de vários tipos de ameaças para garantir a continuidade do
negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as
oportunidades de negócio.
A segurança da informação é obtida a partir da implementação de um conjunto de
controles
adequados,
incluindo
políticas,
processos,
procedimentos,
estruturas
organizacionais e funções de software e hardware. Tais controles precisam ser
estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde
necessário, para garantir que os objetivos do negócio e de segurança da organização sejam
atendidos.
18
Em seu artigo “considerações de segurança da informação em projetos de outsourcing de
IS/IT: um estudo de caso descritivo de dois setores”, Khalfan (2004) define segurança da
informação como:
* Integridade: coleta e manutenção de informações precisas e evitar modificações
mal-intencionadas;
* Disponibilidade: acesso à informação quando e onde desejar;
* Confidencialidade: evitar a divulgação a pessoas não autorizadas ou indesejadas.
Além disso, de acordo com a NBR ISO/IEC 17799:2005, a segurança da informação
refere-se à preservação da:
* Confidencialidade: garantir que a informação seja acessível apenas àqueles
autorizados a ter acesso;
* Integridade: salvaguarda da exatidão e integridade das informações e métodos de
processamento;
* Disponibilidade: garantir que os usuários autorizados tenham acesso às
informações e ativos associados quando necessário.
Para Mamede (2006) a segurança informática é “ (…) prevenção e detecção de ações não
autorizadas por utilizadores de um sistema de computadores”. Acrescenta ainda que a
confidencialidade entende-se por manter seguro o conteúdo de uma mensagem impedindo
que as informações contidas nesta mensagem possam ser acessadas por alguma pessoa não
autorizada. Segundo o autor esta propriedade garante o acesso a informações apenas a
utilizadores autorizados, evitando desta forma a intercepção (acessos não autorizados sem
contudo alterar o envio ou o conteúdo de uma mensagem) de mensagens.
Mamede (2006) acrescenta ianda que a integridade pode ser entendida como “ (…) a
detecção de alterações como sejam adições ao conteúdo, eliminação parcial ou qualquer
outra modificação por pessoas não autorizadas a fazê-lo”.
Khalfan (2004) acrescenta que o grau em que esses aspectos devem ser preservados deve
ser baseado nos requistos de segurança do negócio. Isso pode ser corretamente
compreendido através de análises de risco e análise de impacto. Segurança da informação
abrange tanto a segurança de dados e planejamento de recuperação de negócios. O
primeiro visa assegurar a integridade e privacidade dos dados de propriedade da
19
organização, enquanto o segundo visa à inclusão de medidas que garantam o rápido
restabelecimento das operações normais de negócios em caso de ocorrência de problemas
relacionados a TI como por exemplo a destruição de dados, indisponibilidades de sistemas
críticos, infecção por vírus de computador ou interrupção súbita da função de TI.
Em virtude dos riscos crescentes e diante dos possíveis impactos aos negócios, traduzidos
nas diversas ameaças que muitas vezes são revertidas em grandes prejuízos financeiros
e/ou institucionais, a SI vem deixando de ser encarado como um mal necessário no
planejamento das empresas para se configurar em um projeto que envolve toda a
corporação e passa por processos, pessoas e tecnologias.
Segundo Anderson e Choobineh (2008), os ativos de informação que poderiam ser
amplamente compartilhados tornaram-se mais valiosos e mais vulneráveis a novas
ameaças. Além da criação de novas ameaças, vulnerabilidades e riscos organizacionais, o
crescimento dos ativos de informação introduziu vários novos problemas de gestão que
requerem novas políticas, tecnologias e capacidades organizacionais.
Segundo Shariati, Bahmania e Shams (2011), a segurança da informação no passado foi
considerada como uma questão insignificante e periférica devido aos baixos riscos de
ameaças para as informações da empresa. Assim, a integração parcial de soluções de
segurança parecia suficiente para lidar com as ameaças naquele cenário e estabelecer a
segurança da informação em toda a empresa.
Com o desenvolvimento da tecnologia da informação e sua crescente utilização, novas
questões e efeitos colatarais foram introduzidas nas empresas que já não estavam
preparadas. Resolver essas novas questões certamente foi um estímulo para o
desenvolvimento de abordagens relacionadas com a SI.
A proteção dos ativos de informações, cria novos custos indesejados, onde tais custos são
definidos como gastos utilizados para detectar e prevenir a segurança das informações.
Estes gastos dependem da extensão e robustez das ameaças que procuram causar danos e
prejuízos por meio da exploração de vulnerabilidades.
A proteção dos ativos de informação, independentemente da sua necessidade, cria um
desvio de recursos que poderiam ser usados para construir novas capacidades e aumentar a
produtividade. Em segundo lugar, no ponto de aplicação, muitas das ferramentas e
procedimentos utilizados para proteger as informações criam novas complexidades e
20
inflexibilidades na utilização de recursos. Concluindo que as soluções são frequentemente
temporárias e imperfeitas contra o alto crescimento das ameaças emergentes (Anderson &
Choobineh, 2008).
Segurança da informação era visto como um problema técnico. No entanto, as
vulnerabilidades em processos e fragilidades humanas criam a necessidade de controles
formais e informais, além de controles técnicos. A segurança da informação não pode ser
abordada como uma questão meramente tecnológica nestes sistemas complexos em que a
tecnologia, processos e pessoas coexistem. A segurança da informação deve ser tratada
como um processo de melhoria. Investimentos em controles técnicos devem ser
equilibrados com investimentos na educação formal e informal (Sveen, Torres, & Sarriegi,
2009).
Acrescentando, a implementação bem-sucedida das melhores práticas requer informações,
patrocínio executivo, liderança e gerenciamento. Envolve escolhas entre soluções
alternativas. Estas decisões e ações, para serem eficazes e oportunas, baseiam-se em dados
e informações relativas aos ativos e processos da organização que devem ser protegidos. A
gestão de segurança da informação deve ser capaz de avaliar o estado atual de detecção e
capacidade de prevenção para fins de realização e cumprimento dos planos de segurança
da informação, bem como descobrir as lacunas entre as capacidades e necessidades futuras.
Tais implementações de controles não podem ser vistas como uma execução de planos
estáticos e tais atividades exigem métricas de desempenho, revisão periódica dos planos e
incentivos para atingir as metas de segurança.
Desta forma, uma das razões para a realização de um outsourcing inclui a resposta mais
rápida, eficaz e estruturada a uma ameaça iminente que afete os componentes da segurança
da informação.
Os serviços de segurança da informação incluem gestão de firewalls, administração de
redes virtuais privadas, realização de análises de vulnerabilidades, detecção de intrusão,
administração de antivírus, e, em alguns casos, a concepção, implementação e
gerenciamento de arquiteturas de segurança. A principal causa de condução da demanda
por esses serviços são a escassez de profissionais de segurança treinados e a complexidade
de implementação e manutenção de arquiteturas de segurança de toda a organização
(Khalfan, 2004).
21
2.2.1 - Outsourcing versus Segurança da informação
Os serviços terceirizados de segurança, também conhecido como Managed Security
Services (MSS), implicam que os recursos (físicos, assim como humanos) relacionados
com as funções de segurança são fornecidos e ou administrados por provedores externos,
que são especializados na departamento de segurança da informação. Considerando que a
terceirização de serviços de segurança física é muito comum na prática, as organizações
parecem relativamente relutantes em terceirizar suas funções de segurança. O outsourcing
de segurança é uma prática de mitigação de risco e carrega seus próprios riscos (Karyda et
al., 2006).
O fornecimento de serviços de segurança da informação está se tornando um próspero
negócio e principalmente uma tendência. No entanto, pesquisadores ainda não colocaram
as questões relacionadas ao outsourcing de SI em suas agendas ou pauta de assuntos
prioritários. Há uma infinidade de razões para isso. O fato de que as ferramentas teóricas
atualmente aplicada para a pesquisa de outsourcing, por exemplo, a teoria baseada em
recursos (RBT), a teoria dos custos de transação (TCT), de recursos, teoria da dependência
(RDT) e a teoria da agência custo (ACT) não tenham sido aplicadas em SI. A investigação
sobre segurança da informação faz com que o esforço para estudar o outsourcing de SI seja
ainda mais difícil.
De acordo com Khalfan (2004), as necessidades da legislação combinadas com ameaças de
intrusão estão colocando os serviços de informação de segurança como prioridade nas
empresas. Em resultado disso, o autor aponta que um número crescente de vendedores está
oferecendo serviços gerenciados de segurança, em antecipação de uma demanda
significativa de serviços de SI.
Como já mencionado, o argumento básico de realizar um outsourcing de SI é que as
questões de segurança são manuseados por especialistas, permitindo às empresas focarem
em suas competências essenciais. Porém, uma questão importante que desencoraja as
empresas de terceirizar suas funções de segurança da informação é o medo de perder o
controle sobre seus sistemas e informações sensíveis.
O outsourcing acaba por absorver o investimento nas pessoas, hardware, software e
instalações de diversos clientes, reduzindo o custo por cliente. Portanto o custo de uma
22
terceirização ou serviço gerenciado de segurança é normalmente inferior a contratação
in-house e full-time de especialistas em segurança da informação.
A maioria das empresas que possuem Departamentos de Segurança da Informação não
fornece o serviço de segurança aos seus clientes, pois na maioria das vezes a organização
possui outros objetivos em vez de fornecer serviços de segurança da informação. Por
exemplo, uma empresa mineradora de ferro foca na extração de minério de ferro e não na
implementação de segurança para suas informações.
Neste processo da busca da eficiência e do alinhamento aos objetivos de negócio, muitas
vezes passa-se despercebido a criticidade dos processos de segurança da informação e a
mesma só será observada com maior atenção quando ocorrerem incidentes relacionados no
ambiente e nos processos ou quando requisitos importantes para o contrato não estiverem
sendo cumpridos pelos contratados devido a falhas na elaboração e também nas medições
da efetividade do atendimento do contrato estabelecido entre as partes.
Gwebu et al. (2010) acrescentam que embora haja sinais de que as empresas veem essa
prática como uma alternativa viável que aumenta o valor a estratégia, poucos estudos têm
avaliado rigorosamente o retorno econômico do outsourcing e tem evidenciado fatos
tangíveis sobre o seu valor
Além disso, um grande benefício do outsourcing da atividade de monitoramento da
infraestrutura de segurança é que o escopo das ameaças que esta sendo monitorado é muito
maior do que o escopo de uma única empresa. Mesmo que uma empresa tenha os recursos
para monitorar continuamente todos os eventos que estão sendo gerados, ele só pode
correlacionar os eventos que acontecem no seu próprio perímetro ou em sua empresa.
Entretanto, a maioria empresas de outsourcing de segurança monitoram empresas em
escala global, o que lhes dá um maior número de eventos para correlacionar e uma maior
gestão e antecipação nos aviso sobre eventuais ameaças iminentes. Isso permite que eles
alertem as empresas mais cedo permitindo que o cliente tome as medidas preventivas
(muitas vezes recomendado pelo provedor) para evitar um incidente.
A mudança econômica e regulamentar cobra muito mais rigor do negócio no que se refere
as suas entregas. Todas organizações estão procurando maneiras de operar mais eficaz e
eficientemente e o departamento de segurança da informação deve fazer sua contribuição.
23
O outsourcing de segurança apropriado através da formação de uma parceria é em muitas
vezes uma boa solução para segurança da informação no compartilhamento de
responsabilidade e pode ajudar a contribuir para esse bem-estar da empresa. Embora a
organização ainda possua riscos de segurança da informação, uma parceria com um
provedor de segurança gerenciado permite a mitigação de risco.
Porém Lee e Kim (2010) acrescentam ainda que não há um consenso na literatura quanto
ao efeito da terceirização sobre desempenho da empresa.
Os autores acima acrescentam sobre o valor de um sistema de produção flexível ou
operação de processos ou serviços flexíveis. Tal sistema flexível pode ser substancialmente
mais caro do que o de uma unidade de produção inflexível (dedicada), mas permite a
empresa mudar seu mix de produtos ao longo do tempo e, portanto, se adaptar às mudanças
na demanda. Ou seja, de acordo com as mudanças de cenário, o outsourcing pode se
adaptar a serviços e produtos mais atuais de forma mais flexível ao contrário de produtos e
serviços internos dedicados que envolvam compra de produtos.
2.3 – ESTRATÉGIAS DE OUTSOURCING DAS OPERAÇÕES
Segundo Ferreira e Laurindo (2009) as decisões estratégicas são aquelas que envolvem o
compromisso de um grande número de recursos organizacionais para atingir metas. As
decisões estratégicas podem alterar uma série de aspectos organizacionais e funções como
a forma de gestão e a estrutura, influenciando a direção que a empresa irá tomar.
Segundo Power et al. (2006) o objetivo da avaliação estratégica é examinar o cenário atual
e analisar a posição futura da organização para entender onde o outsourcing se encaixa na
estratégia da organização. É nesta fase que a organização precisa entender os prós e contras
do uso da terceirização como estratégia de negócio.
Os quatro elementos principais da fase de avaliação estratégica incluem: (1) valor do
negócio, (2) avaliação operacional, (3) avaliação financeira e (4) avaliação de riscos
conforme figura 04.
24
FIGURA 04 - Quatro elementos da avaliação estratégica (Power et al., 2006)
Ainda segundo Gonçalves (2005), o ambiente em que as empresas estão inseridas é cada
vez mais competitivo e complexo devido aos avanços tecnológicos. Resultando na pressão
para que as empresas definam suas estratégias e tomem decisões que visam reduzir os
custos, ao mesmo tempo que procuram lutar de forma mais competitiva e eficaz neste
mercado cada vez mais global. Gonçalves (2005) acrescenta que este novo ambiente requer
organizações focadas, ágeis, mais flexíveis e competitivas, sendo muitas vezes necessário
efectuar mudanças radicais a todos os níveis.
Muitas organizações que já possuem outsourcing de TI e que estão buscando o outsourcing
de suas operações de SI não estão levando em consideração a criticidade de tais processos
e das ameaças relacionadas.
Tais empresas não estão dando a devida consideração ao fato de existir a possibilidade de
que informações restritas possam ser acessadas de maneira não autorizada, pois tal acesso
não autorizado a informações importantes, seja para utilização própria, divulgação a
terceiros, sabotagem, ou ainda acidental e involuntário, podem comprometer seriamente o
andamento dos processos internos ou até mesmo prejudicar sobremaneira a imagem da
organização.
25
Segundo Gottfredson et al. (2005), a maioria das empresas continuam a tomar decisões de
sourcing em uma base fragmentada. As empresas não se baseiam em números concretos
em relação ao valor potencial de capacidade de fornecimento.
Desta forma a estratégia de outsourcing do departamento de segurança da informação é um
processo que necessita ser muito bem conduzido e implantado, ameaças e riscos precisam
ser identificados e as fragilidades corrigidas, para que seus objetivos sejam plenamente
atingidos e que a segurança da informação seja preservada.
A terceirização dos processos e atividades de segurança da informação continua a ser uma
questão delicada em muitas empresas. Enquanto serviços gerenciados e outsourcing têm
estado em alta em outros setores de TI, tem havido relutância entre as grandes
organizações em terceirizar seus processos e atividade relacionadas a SI.
O aumento das exigências de legislação, pressões regulatórias e comerciais, questões de
conformidade, temores sobre os danos a reputação da empresa e a sua marca bem com as
novas ameaças críticas tem levado as organizações a se preocuparem com a segurança de
suas informações. O aumento de tal demanda tem-se tornado um problema devido a
escassez de especialistas em segurança.
Nem todos os departamentos de negócios são candidatos para a terceirização. É importante
para qualquer organização ter o tempo para considerar a terceirização através de uma lente
estratégica em vez de mergulhar cegamente na decisão e ter que lamentar profundamente
mais tarde (Power et al., 2006)
Segundo Power et al. (2006), os objetivos da realização de uma avaliação estratégica são
as seguintes:
1. Desenvolver uma visão clara da terceirização, estabelecendo objetivos e metas
tangíveis;
2. Determinar como a terceirização se encaixa na estratégia global de negócios;
3. Selecionar patrocinadores executivos para o projeto;
4. Identificar as principais funções e processos adequados para a terceirização.
5. Determinar o tipo de terceirização.
26
Ainda segundo Power et al. (2006), durante a realização de uma avaliação estratégica, a
organização também precisa realizar o seguinte:
1. Determine seus desafios organizacionais;
2. Desenvolver uma missão e visão;
3. Identificar riscos e mitigações para tais riscos;
4. Identificar estratégias e táticas para maximizar o valor do outsourcing;
5. Comunicar os resultados da fase de avaliação estratégica para as partes
interessadas.
2.3.1 - O que terceirizar?
Departamentos que requerem conhecimentos especializados, para a análise de
vulnerabilidade, análise de risco, e forense são bons candidatos para a terceirização, devido
a quantidade de serviços, número de funcionários e monitoramento vinte e quatro horas por
dia e sete dias por semana, os serviços gerenciados fornecem vantagens, produtividade e
economias de escala para a organização. Além de fornecer recursos humanos treinados e
especializados, tais serviços oferecem um alto nível adicional de continuidade do negócio.
É importante lembrar que tais prestadores de serviço têm a capacidade de reter experiência
pois lidam com incidentes de toda a sua base de clientes se tornando muito mais
capacitados do que uma equipe interna que possui experiência limitada à organização em
qual trabalha.
Encontrar e reter pessoal qualificado é extremamente difícil. Em parceria com um
provedor de serviços de segurança, todas as responsabilidades associadas a custos,
problemas, recrutamento, desenvolvimento de pessoal e retenção de pessoal altamente
qualificado torna-se de responsabilidade da provedora de serviço.
As operações lideradas pelos prestadores de serviços que operam em escala internacional,
por exemplo, na Índia ou China, são, a primeira vista, mais vantajosas devido ao fato de
que estas empresas contratam força de trabalho mais barato em países com baixa renda,
mas conhecimento suficiente para a prestação do serviço (Gonzalez et al., 2005).
A terceirização dessas especialidades permitem a organização foque no que é mais
importante internamente e nos departamentos críticas de negócio.
27
Quando for escolher um parceiro, as organizações devem verificar os níveis de pessoal,
qualificação e experiência do provedor de serviços de segurança, políticas e processos que
são aplicadas, incluindo formação e certificação.
Devem também verificar os Centros de Operações de Segurança (SOCs). Estes são
modernos centros tecnológicos e de alta segurança, equipados com segurança em camadas,
sistemas redundantes de energia, backup e geradores, diversos circuitos de rede roteados e
backup de hardware. Como a chave para o serviço gerenciado, SOCs também devem ser
continuados e disponibilizar pessoal habilitado no período de trabalho acordado.
Power et al. (2006) acrescenta que se deve decidir os limites do projeto de terceirização.
Este envolve decidir o que deve ser incluído no projeto de terceirização e o que está fora de
seus limites. Decidir se será um projeto ou se serão vários projetos. Se a terceirização é a
estratégia preferida ou se pode executar o trabalho internamente. Estas questões são
decisões críticas que irão determinar o nível de esforço necessários para o projeto.
FIGURA 05 - Estratégias do outsourcing (Power et al., 2006).
Segundo Prado (2009), a estratégia de adotar um multisourcing também deve ser
considerada. O multisourcing visa terceirizar os serviços para mais de um fornecedor.
Desta forma vários serviços podem ser gerenciados e um prestador de serviço pode
monitorar o atendimento de outro.
Uma empresa pode preferir manter alguma proporção das operações (Moon, 2010). A
empresa pode manter suas informações ou tecnologias críticas seguras internamente e
terceirizar apenas parte menos importante das operações. Mesmo que uma empresa
considere o outsourcing total, ainda precisa gerenciar uma pequena porção da operação.
28
Alvarez e Stenbacka (2007) propõem um modelo de terceirização parcial. Seu modelo visa
encontrar uma proporção ideal de terceirização para beneficiar o processo de outsourcing
da organização.
Uma organização deve ser extremamente cuidadosa ao definir quais segmentos serão
terceirizados. A organização deve conhecer as interdependências entre os processos e
como estes vão ser gerenciados. Deve ter uma visão sistêmica dos negócios e deve
assegurar que os processos sendo terceirizado podem ser integrados de volta para a
organização, sem perturbações graves, quando houver esta necessidade (Power et al.,
2006).
De acordo com Antelo e Bru (2010) em um ambiente incerto, pode ser estratégico para
uma empresa, a terceirização temporária ou seja, para criar um processo de terceirização
inicial e, em seguida, para retomar a atividade de volta na empresa. A abordagem de
reestruturação que envolve manter competências não essenciais dentro da empresa (inhouse) requer gastos substanciais e comprometimento organizacional. Neste contexto,
parece realista supor que a terceirização pode fornecer informações relevantes para a
decisão de reestruturação. A terceirização pode permitir que a empresa adie esta decisão de
fazer ou comprar, até obter mais informações. O outsourcing por um tempo limitado em
vez de um forte compromisso pode ser a resposta a estratégia da empresa em um quadro
incerto.
Com o crescimento das oportunidades de Tecnologia da Informação e Comunicações, as
empresas têm percebido a importância da interoperabilidade como uma vantagem
competitiva. Assim, muitas empresas adotaram a estratégia de mudanças rápidas das suas
estruturas para suportar a interoperabilidade com o ambiente de negócios e suas constantes
mudanças. Porém a interoperabilidade é incompatível com a segurança da informação visto
trazer ou expor vulnerabilidades ao processo (Shariati et al., 2011).
Os autores acima acrescentam que o crescente uso de arquiteturas orientadas a serviços, ou
outsourcing de serviços, tem tanto beneficiado e prejudicado a segurança das informações
da empresa. De acordo com os autores, por um lado, a orientação a serviços facilita a
automatização de colaborações de serviços e o aumento de colaborações, o que leva à
exposição de informações da empresa. Por outro lado, ele abre o caminho para a fácil
colaboração de serviços de segurança.
29
Segundo Anderson e Choobineh (2008) as decisões de segurança são feitas em todos os
níveis de uma organização e a partir de perspectivas diversas. Nos níveis tático e
operacional de uma organização, a tomada de decisão se concentra na otimização de
recursos de segurança, isto é, uma combinação integrada de planos, pessoal,
procedimentos, diretrizes e tecnologia que minimize danos e prejuízos. Todas essas ações
táticas de reduzir a frequência e ou consequências de falhas de segurança estão limitadas
pelo orçamento da segurança global da organização. Nas empresas, a estratégica de
gerenciamento da segurança da informação está diretamente relacionada ao orçamento.
Eles acrescentam que a gestão estratégica de segurança da informação deve-se concentrar
nas demandas de recursos da empresa e seus custos de oportunidade procurando identificar
benefícios que justifiquem os custos relacionados. Se não houvesse ameaças, recursos para
a segurança não existiriam, os custos seriam menores, os lucros seriam maiores e as
organizações teriam maior valor patrimoniais.
Ferreira e Laurindo (2009) comentam que os gestores devem ser capazes de distinguir
quando a decisão de terceirização de TI é apenas uma escolha transacional e quando
terceirização de TI é estrategicamente relevante. Ele acrescenta que existem seis aspectos
que são considerados pelas empresas brasileiras ao realizar um outsourcing: assuntos
estratégicos, custos, novas formas de gerenciamento, riscos, contratos e benchmarking.
De acordo com Thouin et al. (2009) os custos, benefícios e riscos variam de acordo com os
tipos de serviços de TI a serem terceirizados. O autor acrescenta que a organização deve
atentar-se para o fato de que a um aumento de custos devido a necessidade da empresa
monitorar o desempenho da outra parte (prestadora de serviço).
Segundo Gottfredson et al. (2005) a organização precisa parar de se concentrar em metas
de melhoria de custos incrementais e reavaliar a sua estratégia e suas capacidades. O
primeiro passo é identificar os componentes do seu negócio que representam o núcleo.
Estas são as atividades que sua empresa faz melhor e mais barato do que o seu rivais. Desta
forma serão identificadas as capacidades que a organização precisa possuir e proteger.
Após esta análise, deve-se verificar o que pode ser melhor executado por terceiros e qual
tipo de parceiro, bem como estruturar o relacionamento produtivo entre as partes
interessadas. Segundo o autor, o sucesso da estratégia depende frequentemente da
criatividade com que as parcerias são organizadas e administradas.
30
A partir de outra visão, focando em tecnologia, Varadarajan (2009) comenta que os
gestores devem pensar de forma mais expansiva sobre o que devem terceirizar. Em relação
ao potencial impacto da tecnologia sobre o outsourcing, os gerentes precisam entender
como a tecnologia pode ser aproveitada para terceirizar uma atividade que está sendo
realizada internamente mas também como a tecnologia pode ser aproveitada para uma
atividade que está atualmente terceirizada.
Tanto pesquisadores como profissionais concordam que, as atividades relacionadas com o
núcleo de negócio da organização deve ser mantido in-house, enquanto aqueles que são
periféricos ao negócio são mais adequados para a terceirização. As empresas também
preferem frequentemente deixar de ralizar internamente as atividades que são tediosas ou
monótonas. Finalmente, o conhecimento intensivo e atividades de uso intensivo de
recursos também são considerados para o outsourcing.
Outro fator importante para a estratégia de acordo com Karyda et al. (2006) é a seleção do
fornecedor que é considerado como um fator de sucesso para o outsourcing. A duração do
serviço também é importante para a criação de bases de relacionamento entre a empresa e
o provedor, bem como a definição de Service Level Agreement (SLAs) que funcionam
como uma garantia para os níveis de desempenho acordados.
A disponibilidade do cliente, uma boa estratégia, processos bem definidos, contratos de
“bom-tom” e o bom relacionamento são fatores chave de sucesso para o outsourcing
(Lacity et al., 2009).
Segundo Chou e Chou (2009) quando uma empresa pretende realizar um outsourcing deve
levar em consideração os seguintes itens:
1. Identificar a necessidade de terceirização: Uma empresa pode enfrentar ambiente
externo rigorosos, redução de custos, ou crise econômica. Além de ambiente externo,
alguns fatores internos também podem levar à consideração de terceirização. Tais
como a necessidade de habilidades técnicas, restrições financeiras, pedido dos
investidores;
2. Planejamento e definição estratégica: Se uma empresa identifica a necessidade de
terceirização, ela precisa ter certeza que a decisão de terceirizar deve estar alinhada
com o plano estratégico e objetivos da organização. Muitas tarefas precisam ser
cumpridas durante os estágios de planejamento e definição estratégica, incluindo
31
determinar os objetivos do outsourcing, escopo, cronograma, custo, modelo de
negócios e processos. Um planejamento cuidadoso de terceirização prepara uma
empresa para perseguir um projeto de terceirização bem-sucedida;
3. Seleção do fornecedor: A empresa inicia o processo de seleção de fornecedores com a
criação de pedido de informação ou Request for Information (RFI) e solicitação de
proposta ou Request for Proposal (RFP). Uma empresa de terceirização deve fornecer
informações suficientes sobre os requisitos e as expectativas para um projeto de
terceirização. Depois de receber as propostas de fornecedores, esta empresa precisa
selecionar um fornecedor de outsourcing com base nas necessidades de estratégicas e
requisitos definidos;
4. Processo e contratação: Um processo de negociação do contrato começa depois que a
empresa seleciona um fornecedor de outsourcing provável. O processo de contratação
é fundamental para o sucesso de um projeto de terceirização uma vez que todos os
aspectos do contrato devem ser especificados e cobertos, incluindo características
gerenciais, tecnológicos, de preços, financeiras e legal. Para evitar um contrato
incompleto, ao final da elaboração do contrato deve-se realizar uma revisão por
consultores independentes. Mais importantes ainda, os acordos de nível de serviço
devem ser claramente identificados no contrato;
5. Transição do processo: Após a assinatura do contrato o processo se inicia com a
transferência de conhecimento e de documentação de todos as tarefas relevantes,
tecnologias, fluxos de trabalho, pessoas e funções;
6. Execução do projeto: Após a transição do processo, é hora do fornecedor e do cliente
executar seu projeto de outsourcing. Quaisquer itens listados no contrato e seus SLAs
precisam ser entregues e implementado conforme solicitado;
7. Avaliação do Outsourcing: Durante o fim de um período, o vendedor deve emitir o seu
produto final ou serviço, para aprovação do cliente. O cliente deve avaliar a qualidade
do produto ou serviço que foram fornecidas. O cliente de outsourcing deve medir e
formalizar seu nível de satisfação. A avaliação de satisfação e um bom relacionamento
irá garantir a continuação do contrato de outsourcing.
Segundo Power et al. (2006) o outsourcing possui um ciclo de vida que pode ser de ajuda
na tomada de decisão. O ciclo de vida de terceirização é composto das seguintes etapas: (1)
32
avaliação estratégica; (2) análise das necessidades; (3) avaliação do fornecedor; (4) a
gestão e negociação do contrato; (5) o início do projeto e de transição; (6) de gestão de
relacionamento (7); continuidade, modificação ou estratégias de saída.
FIGURA 06 - O ciclo de vida do outsourcing (Power et al., 2006)
A avaliação estratégica é a principal atividade na primeira fase do processo. Durante a fase
de avaliação estratégica, a organização deve fazer uma análise de caso de negócio,
identificando claramente os benefícios pretendidos de realizar o outsourcing. Fazendo isso
exigirá que a organização analise o seu centro de competências e identifique os
departamentos que são adequados para a terceirização (Power et al., 2006).
Gwebu et al. (2010) mencionam que dado o nível de despesas e o elevado potencial de
benefícios e riscos associados com o IT Outsourcing, é vital que as decisões de
terceirização sejam apoiadas por sistemática e conclusivas evidências empíricas sobre seus
retornos. Poucos estudos têm procurado fornecer tal evidência e ainda hoje não está claro
se ITO agrega valor aos negócios de forma tangível para as empresas.
Conclusões apenas com base em indicadores de desempenho, de acordo com Gwebu et al.
(2010) pode ser ilusório porque estes indicadores podem ser influenciados por outros
fatores. Desta forma, uma abordagem baseada em processo é mais apropriada.
É importante avaliar o custo benefício da implementação de controles. A implementação
de controles nunca deve ultrapassar o valor dos “ativos”, desta forma, quando a
33
implementação de controles não é viável, a realização de um outsorcing específico pode
ser viável.
De acordo com Anderson e Choobineh (2008) poderia esperar que uma empresa é ótima
onde os custos com a implementação de controles de segurança são iguais as perdas
esperadas. Acredita-se que as organizações devem destinar recursos para proteger os bens
até o valor de perdas esperadas contra esses ativos. Se uma organização não tem as
habilidades e recursos para prover adequado monitoramento e análise dos eventos gerados,
bem como as competências de configuração, neste caso o outsourcing é recomendado.
Faz parte da estratégia que as empresas mantenham algumas habilidades de segurança
internamente. Por exemplo, definição de padrões, análises técnicas, análises críticas para
mudanças.
Para a maioria dos CIOs1 a segurança da informação não é uma competência central da
empresa. A maioria das empresas não está no negócio para fornecer um serviço de
segurança da informação para seus clientes. Uma vez que as empresas possuem este ponto
de vista de seu próprio negócio, eles são muito mais propensos e preparados para
considerar o outsourcing de suas operações de segurança.
A maioria das empresas hesita em terceirizar totalmente seu departamento de segurança da
informação optando por terceirizar uma parte desta atividades e acompanhar o atendimento
dos níveis de serviço.
Outros preferem manter a gestão de infraestrutura internamente. Isso lhes permite manter
controle sobre a segurança global e dá-lhes a certeza de que alguém está monitorando sua
infraestrutura de segurança, que é algo que poucas empresas conseguem alcançar por conta
própria.
Caso a decisão seja tomada por realizar um outsourcing, então é criticamente importante
ter um contrato que estabeleça claramente as objetivos e expectativas do serviço a ser
1
CIO - Chief Information Officer
34
prestado. É muito importante determinar e aprovar o escopo do outsourcing e determinar o
que será exigido internamente do lado do cliente para determinar se o serviço acordado e
níveis de segurança estão sendo atendidos.
O escopo geralmente inclui o monitoramento da infraestrutura de segurança tais como
firewalls, IDS / IPS e antivírus. Inclui a análise dos eventos que eles geram, a fim de
determinar qualquer incidente que talvez venha ocorrer. Acrescenta-se também ao escopo a
configuração contínua da infraestrutura de segurança para otimizar a postura de segurança
da empresa e prevenção e recuperação de incidentes.
Espera-se que os fornecedores de serviços externos antecipem e previnam problemas ao
invés de meramente resolver os problemas quando eles ocorrem.
Lee e Kim (2010) propõem três dimensões primárias para determinar o impacto de um
outsourcing sobre o desempenho da organização. Desta forma a empresa ao realizar um
outsourcing deve se preocupar com: a duração do contrato, as funções do outsourcing
(tipos de serviços a serem prestados) e os locais do outsourcing (internamente ou no
exterior).
A decisão de terceirizar a gestão da segurança da informação precisa ser cuidadosamente
ponderada. As organizações precisam ter cautela na questão da escolha de um parceiro.
Além de se preocupar com o estabelecimento de suas políticas de segurança para cobrir
todas as necessidades e camadas (Khalfan, 2004),
As Organizações não devem ter pressa em escolher um provedor de serviço sem a
evidência convincente sobre a qualidade e nível do fornecedor.
Segundo Gonzalez et al. (2005) um bom relacionamento precisa de um bom contrato. Um
material detalhado desenvolvido por consultores jurídicos pode ajudar no sucesso deste
bom relacionamento. Acrescentam ainda que relacionado com este está o método de
avaliação da qualidade do serviço de outsourcing, ou seja, medição do valor da
terceirização ou custo benefício.
Contratos de terceirização devem incluir disposições robustas para segurança da
informação, especialmente na elaboração do SLA, além de uma avaliação dos benefícios e
riscos do outsourcing de serviços de segurança.
35
Karabulut et al. (2007) acrescentam que o contrato deve descrever claramente como os
dados serão protegidos.
Os líderes da indústria têm também vindo a defender a adoção de certificação de acordo
com o Sistema de Gestão de Segurança da Informação, padrão desenvolvido pela British
Standards Institution para fornecer orientações sobre aspectos organizacionais de
segurança da informação, avaliação de riscos e implementação de controles (Kshetri,
2007). A certificação da prestadora de serviço abrange questões relacionadas à segurança
de informações, tais como rede de dados, os dados propriamente dito e termos de utilização
de dados.
Power et al. (2006) orienta sobre os componentes do contrato de Outsourcing. Ele comenta
que contrato deve descrever claramente:
1. A amplitude e natureza do trabalho;
2. Papéis e responsabilidades da organização;
3. Papéis e responsabilidades do prestador de serviço;
4. Métricas para avaliar o desempenho da prestação de serviços;
5. Recursos interpostos, caso as coisas não saiam como o esperado.
Acrescenta ainda que o contrato deve ser composto por um contrato principal, métricas de
definição, acordos de nível de serviço, princípios de funcionamento, acesso aos recursos,
princípios da operação e declarações de trabalho ou Statements of Work (SOW).
36
Acesso a
recursos e
conhecimen
tos
Contrato
mestre
SLA
Contrato
de
outsourcing
Principio
de
funcioname
nto
SOW
Definição
de métricas
FIGURA 07 - Componentes do contrato de Outsourcing (Power et al., 2006).
Segundo Brown e Wilson (2005) para gerenciar um contrato de outsourcing é necessário:
•
Habilidades da equipe - A equipe envolvida com o outsourcing precisa ter experiência
em atividades e processos organizacionais;
•
Controles adequados - Os responsáveis por avaliar os resultados e o desempenho do
contrato devem ter recursos, suporte e flexibilidade necessária para lidar com questões
não previstas que possam surgir;
•
Comunicação - As linhas de comunicação devem ser bem definidas para garantir a
solução de problemas e um desempenho adequado.
Bergamaschi (2005) propôs um modelo de gestão de outsourcing baseado em cinco
conceitos: relacionamento, confiança, remuneração, contratos e gerenciamento de nível de
serviço. O autor também classificou os diversos modos de gerenciamento de outsourcing
em cinco categorias: contrato padronizado, contrato personalizado, remuneração por
desempenho, compartilhamento de riscos e relacionamento de confiança.
A elaboração de um contrato não é suficiente para garantir o sucesso do Outsourcing pois
são limitados pela incerteza do futuro desconhecido. O relacionamento entre fornecedor e
cliente desempenha um papel importante no resultado (Prado, 2009).
37
Em resultado de suas pesquisas, o autor acima citado recomenda compartilhar os ganhos
pelo serviço bem prestado. Acrescenta que o sucesso de um outsourcing depende também
da definição clara de requisitos e objetivos, de um cuidadoso processo de definição de
níveis de acordo de serviço junto com um bom gerente de relacionamento. Este último
deve ser ativo no monitoramento e na avaliação do desempenho, para construir um
relacionamento sólido.
A fim de medir o desempenho do contratado, é necessário ter a supervisão sobre as
atividades da empresa contratante e controlar seu desempenho (Alipour, Kord, & Tofighi,
2011).
Rodrigues et al. (2009) sugerem a adoção de modelos de práticas gerenciais (ITIL, COBIT,
PMI, BS7799, ISO9000) para gerir seus processos de outsourcing servindo como
ferramentas de apoio.
O Gerenciamento dos Serviços de TI ou Information Technology Service Management
(ITSM) vem ganhando destaque nos últimos anos. A padrão adotado permite que às
empresas adquiriram maior controle da qualidade dos seus processos de TI, medindo
resultados dentro de padrões de eficiência e desempenho. Este padrão pode ser adotado
para prestadores de serviço.
O Information Technology Infrastruture Library (ITIL) aqui mencionado é uma estrutura
de padrões e melhores práticas para gerenciar os serviços e a infraestrutura de TI.
Atualmente é a abordagem mundialmente mais difundida e adotada para o gerenciamento
de serviços de TI.
Perez e Zwicker (2005) acrescentam que realização da aquisição de serviços envolve a
análise do mercado, a seleção de estratégias de fornecimento e a gestão de serviços. Desta
forma é importante que a organização conheça seus fornecedores. Para isso a elaboração de
uma RFI deve ser priorizada. A RFI é um documento enviado a potenciais fornecedores do
mercado solicitando informações sobre os tipos de serviço que eles são capazes de
executar comprovando tal experiência. Deve-se avaliar a capacitação tecnológica em
oferecer soluções tecnológicas diferenciadas e segurança da informação baseando-se na
capacidade de o fornecedor atuar de forma adequada de modo a resguardar o acesso e o
uso indevido de informações de valia para seus clientes.
38
Munoz e Welsh (2006) acrescentam como parte da estratégia a compreesão dos objetivos
da organização, de sua cultura e as avaliações sobre o impacto do outsourcing na
organização. O local a ser realizado as atividades, seja no próprio país ou fora, pois tal
decisão deve oferecer vantagens importantes. E, por fim, a compreensão da forma de
trabalho da prestadora de serviço para que não haja problemas de conflito de cultura.
Segundo Martins e Santos (2005) após a contratação, deve ocorrer um processo de
acompanhamento de todos os controles gerenciados e implementados e, para isso, é
necessária a produção de indicadores específicos que possibilitem visualizar as condições
de funcionamento e desempenho do ambiente analisado.
O outsourcing não remove a responsabilidade do contratante. O outsourcing é muito mais
uma parceria em que as empresas terão de trabalhar em estreita colaboração com seus
fornecedores. Desta forma escolher este parceiro é fundamental para o sucesso. Devem
trabalhar com confiança. Devem ser observados a capacidade de entrega, o conhecimento,
a experiência, as referências, as recomendações, a estabilidade financeira, os níveis de
serviço bem como outros fatores.
2.4 – RISCOS DE OUTSOURCING DAS OPERAÇÕES DE SEGURANÇA DA
INFORMAÇÃO
Segundo Chou e Chou (2009) o risco pode ser identificado como um evento indesejável,
uma função de probabilidade, variância da distribuição de resultados, ou perda esperada.
De acordo com Axelrod (2004) um dos riscos da terceirização está relacionada a
comunicação entre redes para se conectar a fornecedores e outras organizações, mesmo
quando a comunicações estão entre as entidades conhecidas e de indivíduos de confiança.
O uso das redes públicas expõe sistemas à ciberataque.
De acordo com Perçin (2008), existem seis tipos de riscos para outsourcing. São eles:
segurança da informação, custos ocultos, falta de controle de gestão, funcionários,
ambiente de negócios e assuntos de vendas.
Já Carlson (2007) categoriza os riscos em 3 tipos: os riscos operacionais, riscos
estratégicos e riscos compostos.
A falta de especialidade para supervisionar prestadores de serviços também se torna um
risco para o Outsourcing (Alipour et al., 2004).
39
Segundo Karyda et al. (2006) o outsourcing não é um processo livre de risco. Um
conjunto de fatores de risco inclui: não entendimento da criticidade do outsourcing,
contratação incompleta; fracasso em construir e manter capacidades e competências
internas e expectativas irreais de atendimento. A perda de confidencialidade dos dados foi
classificada em primeiro lugar entre um conjunto de cinco fatores de risco em um
outsourcing de SI e TI.
Não é apenas a produção de bens e serviços que são terceirizadas para as partes externas,
mas também as responsabilidades das melhorias de desenvolvimento, gestão e
continuidade das atividades. O principal problema da terceirização é o fato de que a
terceirização implicar na transferência da propriedade de conhecimento de uma atividade
(Hätönen & Eriksson, 2009).
As questões de segurança a informação em geral são amplamente reconhecidos como
fatores importantes que impedem uma maior adoção do outsourcing de SI, desta forma
deve-se preocupar com o que terceirizar (Karyda et al., 2006).
Outras fontes de resistência para a terceirização estão relacionadas com a qualificação e
expertise dos funcionários e à perda de conhecimento importante para a organização que
estão internalizadas.
Além disso, os possíveis riscos que estão muitas vezes relacionados com o outsourcing
incluem inesperados custos e possíveis complicações.
Assim, as organizações devem se esforçar para alcançar um equilíbrio entre os benefícios
esperados e os riscos relativos decorrentes da terceirização, escolhendo as mais adequadas
resposta às seguintes perguntas: o que terceirizar, a quem, quando ou por quanto tempo e,
finalmente, como gerenciar o outsourcing.
Por outro lado, os autores acima acrescentam as seguintes desvantagens (Karyda et al.,
2006):
• Menor controle operacional sobre a TI e seus detalhes;
• Serviços de outsourcing exigem delimitação dos serviços a serem prestados e
qualquer desvio pode adicionar custos significativos para o sistema;
• Perda de controle do domínio técnico pode levar a diminuição do nível de
integração de TI na organização resultando na redução de competitividade;
40
• Na visão do usuário final o nível de serviço ou atendimento pode ficar prejudicado
e ser inferior ao nível de serviço anteriormente praticado.
Ainda de acordo com Axelrod (2004) outro importante risco do outsourcing está
relacionado com os seres humanos. Não se pode ter o mesmo nível de compromisso de
empregados de empresas prestadoras de serviço que funcionários internos da organização.
Eles podem não ter a compreensão do ambiente de negócio e os processos da empresa
cliente e nem formação suficiente. Outros fatores devem ser considerados como a
diferenças de idioma, cultura, infraestruturas físicas e virtuais, legais e regulamentares
requisitos, fusos horários, distâncias, e assim por diante.
Raiborn et al. (2009) acrescentam que a distância geográfica pode ser um risco devido à
dificuldade de monitoramento de desempenho e de produtividade.
São listadas abaixo alguns riscos mencionados por Axelrod (2004):
• Perda de controle sobre os processos;
• Viabilidade de prestador de serviços;
• Tamanho relativo do cliente e provedor de serviços. Provedores geralmente
maiores, com clientes diversificados têm maiores chances de sobreviver em tempos
de crise. Provedores maiores podem usar os tempos de crise para descartar os
prestadores de pequeno porte;
• Qualidade de serviço. Prestador de serviço pode reduzir pessoal para redução de
custos;
• Empatia. Provedor de serviço pode cortar horas de serviço, limitar a atenção
pessoal, e não prever necessidades específicas do usuário, etc.;
•
Confiança. Pressões financeiras podem abrir margem para chantagem e fraudes;
• Execução. Contratante pode diminuir o desempenho de modo a reduzir os custos.
Contratante pode cortar custos para se manter competitiva. Cliente e contratante
podem reduzir verificação dos resultados sob pressões;
• Falta de experiência. Pessoas altamente qualificadas são mais propensos a irem para
as organizações mais seguras;
• Custos ocultos e incertos;
• Personalização limitada e melhorias;
41
• Transferência de conhecimento. Empresas terceirizadas podem ser menos
propensos a compartilhar conhecimento devido à crença de que ele vai captar o
cliente de forma mais eficaz;
• Ambientes compartilhados. Ambientes compartilhados com outros clientes para
reduzir custos;
• Assuntos legais e regulamentares.
São listados abaixo alguns riscos mencionados por Power et al. (2006).
• Falta de compromisso de gestão;
• Conhecimento mínimo de metodologias de terceirização;
• Falta de um plano de comunicação de terceirização;
• Incapacidade de reconhecer os riscos de terceirização;
• Falta de trocar de conhecimento com fontes externas;
• Não dedicar recursos melhores internamente;
• Não valorizar as diferenças culturais;
• Programas de gestão de relacionamento pobres.
Ainda de acordo com Axelrod (2004) o risco deve ser distribuído por dois ou mais
fornecedores.
Os custos ocultos de um processo de terceirização estão diretamente relacionados com
riscos de falha e a perda de privacidade das informações e da própria segurança (Ferreira &
Laurindo, 2009).
Nesta mesma linha Chou e Chou (2009) comenta que alguns riscos estão relacionados com
a transição, gestão de custos, custos com mudanças, alterações contratuais, disputas e
litígios, perda da competência organizacional e custos ocultos e a falta de gestão de tais
riscos podem gerar perdas significativas para a organização.
Acrescentando um contrato deve possuir uma valiosa lista completa de tarefas e
responsabilidades que cada parte contratante tem de executar diminuindo assim riscos de
mal entendimento das responsabilidades. Contratos incompletos podem causar dificuldades
e resultar em processos judiciais.
42
Como acontece com qualquer atividade empresarial, a decisão de terceirizar funções de
segurança trás riscos que precisam ser considerados. A seleção de um parceiro que presta
serviços de segurança da informação já é uma redução dos riscos ou pode ser considerada
um compartilhamento de riscos mas que ainda é imputada a responsabilidade à empresa
que esta contratando o outsourcing.
Raiborn et al. (2009) acrescenta que o desempenho pode ser afetado ao realizar o
outsourcing. Acrescenta ainda outro risco relacionado a perda de controle pois muitas
tarefas anteriormente realizadas pela organização agora são realizadas por terceiros.
Segundo Chou e Chou (2009) outro risco é a dificuldade de medir o desempenho e pode
gerar custos adicionais no gerenciamento. A empresa ainda precisa realizar um estudo
cuidadoso relacionado ao seu posicionamento interno e externo antes de tomar uma
decisão de outsourcing. O autor ainda acrescenta que um dos riscos é a transição das
atividades e responsabilidades para um prestador de serviço.
Abaixo Chou e Chou (2009) relaciona alguns riscos ferentes ao ciclo de vida de um
contrato.
A. Período pré-contrato:
• Falta de informação de mercado;
• Plano de terceirização inadequada e falta de estratégia de terceirização;
• Falta de informação do fornecedor.
B. Período de contrato:
• Gestão do conhecimento inadequado de projetos e ferramentas;
• Falta de controle de qualidade;
• Custo com transição inesperada, custos de mudança, alterações contratuais,
disputas e litígios, degradação do serviço, aumento de custos, perda de competência
organizacional;
• Quebra de contrato pelo fornecedor, incapacidade de entrega pelo fornecedor;
• Risco de perda de controle, tais como perda de autonomia e controle sobre
decisões de TI, perda de controle sobre fornecedor, perda de habilidades críticas,
43
crescimento incontrolável do contrato, perda de controle sobre os dados, e perda de
moral e produtividade dos empregados.
C. Período pós-contrato:
• Falta de avaliação de medição e falta de métricas;
• Falta de certificação e modelo de qualidade.
Para a mitigação de alguns riscos, Bhattacharya et al. (2003) e Raiborn et al. (2009)
mencionam a necessidade de SLAs como garantia sobre a disponibilidade, confiabilidade e
escalabilidade dos serviços. Acrescentam que os SLAs devem também incluir métricas de
medição de desempenho que se estendem para além de uma única perspectiva corporativa.
De acordo com Lee e Kim (2010) uma empresa que realize um outsourcing pode perder o
controle e flexibilidade além do risco de divulgação ou perda de conhecimentos de
propriedade interna como por exemplo de fornecedores. Acreditam que o outsourcing,
(fulloutsourcing ou multisourcing)
tem efeitos não lineares, sendo prejudicial para a
performance da empresa. Esta perspectiva insta os profissionais a avaliar os prós e contras
do outsourcing.
Khalfan (2004) menciona que uma outra preocupação é a segurança da manipulação de
dados por tais prestadores de serviço. Afirma que
quando as funções de TI são
terceirizadas para um prestador de serviços externo, a organização já não retém controle
total da segurança da informação.
Segundo Prado (2009), alguns riscos podem surgir com o outsourcing. Falta de
comprometimento da empresa prestadora de serviço em realizar suas atividades. Falta de
flexibilidade em fazer adaptações à medida que as circunstâncias mudam. Mudança de
fornecedores. Despreparo do cliente para o outsourcing. Falta de uma metodologia de
trabalho e o próprio retorno das atividades ao final do contrato.
Oza, Hall, Rainer e Grey (2004) também concordam que as diferenças culturais afetam o
outsourcing. Cultura de trabalho, questões de comportamento, método de comunicação e
percepção em relação à cultura também são riscos para uma estratégia de outsourcing.
Kshetri (2007) acrescenta a dificuldade relacionada com a distância da força de trabalho
que suportam os serviços gerenciados dificultando assim a sua gestão e segurança das
informações.
44
Acrescenta ainda que as leis de privacidade no país de origem podem não atender as
expectativas da organização. O autor ressalta que a perspectiva de processo civil e criminal
é mais fraco quando tais violações ocorrem em um país com um Estado de Direito fraco
trazendo dificuldades relacionadas ao contrato e a privacidade das informações.
Ainda nesta linha de pensamento Munoz e Welsh (2006) acrescentam que a organização
deve-se preparar para as variações de negócios entre países. Organizações de diferentes
países diferem em objetivos, cultura, perspectivas e infraestrutura.
Estudos indicaram que muitas das empresas que realizaram o outsourcing de seus
processos não conseguiram gerar esperado benefícios financeiros e que algumas empresas
envolvidas com outsourcing têm sido incapazes de colher os benefícios (Kshetri, 2007).
Neste capítulo foram abordados pontos sobre o enquadramento teórico e conceitual em
torno do tema, destacando a origem do outsourcing, tecnologia da informação, segurança
da informação, bem como os fatores que levam uma organização a esta decisão, como
vantagens e desvantagens relacionadas a adoção de um outsourcing. Destacou-se a
evolução do outsourcing em TI e SI, os padrões adotados pelo mercado, serviço que fazem
parte de um escopo de outsourcing de SI, estratégias de outsourcing das operações, ciclo de
vida de um outsourcing, componentes de um contrato de outsourcing e os riscos de
outsourcing das operações de SI.
No próximo capítulo iremos abordar a metodologia da investigação constituída pelo
desenho, objetivos, questões e métodos adotados na investigação.
45
CAPÍTULO III – METODOLOGIA DA INVESTIGAÇÃO
3.1 – DESENHO DA INVESTIGAÇÃO
Em relação aos dados da investigação, esta pode será de natureza qualitativa ou
quantitativa. Assim, optou-se por estudo descritivo com uma abordagem explanatória com
fundamentos quantitativos para suportar a análise.
Será realizada uma pesquisa qualitativa suportada pela análise e pela avaliação de uma
amostra não-probabilística, colecionada intencionalmente e com tratamento quantitativo
dos dados.
A investigação quantitativa caracteriza-se pela precisão e controle estatísticos com a
finalidade de fornecer dados para a verificação das questões levantadas (Barañano, 2008;
Cervo & Bervian, 1996).
Outra vantagem em se usar o método quantitativo é a possibilidade de se realizar a
verificação das questões levantadas permitindo uma associação entre as variáveis (Lakatos
& Marconi,2007).
Segundo Souza e Baptista (2011) a investigação quantitativa caracteriza-se pela utilização
do método experimental; formulação de uma questão que experimenta relações entre
variáveis; explicação de fenômenos e estabelecimento de relações causais; procura de
causas dos fenõmenos sociais; realização de uma seleção probabilística de uma amostra a
partir de uma população definida; verificação das questões mediante a utilização de análise
estatística dos dados recolhidos; utilização de medidas numéricas para testar questões
O método descritivo será utilizado por oferecer resultados úteis e fidedignos (Gil, 2009).
Toda a análise do levantamento bibliográfico sobre o tópico da investigação permitirá
definir o problema desta investigação, os objetivos propostos e as questões levantadas.
A figura 08 descreve o projeto de investigação que será desenvolvido.
46
FIGURA 08 – Projeto de investigação
3.2 – OBJETIVOS DA INVESTIGAÇÃO
3.2.1 – Objetivos gerais
Como observado na proposta desta investigação, o objetivo geral e estudar e identificar as
organizações brasileiras que possuam um sistema de gestão de segurança da informação ou
processos associados a este sistema e que possuam outsourcing de partes ou de todos os
processos de segurança da informação. Identificar as estratégias adotadas para o
outsourcing e identificar também um referencial teórico que permita uma compreensão
mais ampla dos temas abordados.
Para se visualizar de maneira clara o objetivo geral esta investigação, será necessário
estabelecer objetivos mais específicos de investigação.
3.2.2 – Objetivos específicos
O presente estudo tem os seguintes objetivos específicos:
47
•
Identificar a importância da segurança da informação para a organização;
•
Identificar se os processos e atividades de segurança da informação são subordinados a
área de tecnologia da informação;
•
Identificar se as organizações estão realizando o outsourcing das atividades
relacionadas a segurança da informação;
•
Identificar se o outsourcing de segurança da informação é realizado junto com o
outsourcing de tecnologia da informação;
•
Identificar se é realizado algum tipo de benchmark com outras organizações como
apoio na tomada de decisão;
•
Identificar as modalidades, escopo e estratégias de outsourcing adotadas;
•
Identificar se foram realizadas avaliações de riscos para ajudar na definição do
outsourcing;
•
Identificar os fatores que levaram a definição de realizar o outsourcing de Segurança da
informação.
3.3 – QUESTÕES DA INVESTIGAÇÃO
Ainda segundo Creswell (2007), em um estudo quantitativo os investigadores usam
questões e hipóteses de pesquisa para mudar e focar especificamente o objeto de estudo.
As questões de pesquisa são declarações interrogativas ou questões que o investigador
tenta responder e são usadas em estudos de levantamento.
Uma questão da pesquisa representa uma relação entre duas ou mais variáveis (Krathwohl,
1988).
Reis (2010) menciona que a formulação de questões tenta responder ao problema
levantado pelo tema escolhido para a pesquisa, sendo assim uma pré-solução para o
problema, uma resposta provável, suposta e provisória, e também um enunciado
conjectural das relações entre as variáveis. As questões abordadas são diretrizes para uma
pesquisa e definem-se como tentativas de explicações do fenômeno pesquisado, sendo
formuladas como proposições.
48
De acordo com Creswell (2007), a partir dos resultados da amostragem o pesquisador
generaliza ou faz alegações acerca da população. Segundo o autor, uma técnica
quantitativa é aquela na qual o investigador usa primariamente alegações pós-positivas
para o desenvolvimento do conhecimento, ou seja, raciocínio de causa e efeito, redução de
variáveis específicas e questões, uso de mensuração e observação e teste de teorias.
As questões devem ser formulada de modo a estabelecer uma relação de causa e efeito
entre as varáveis abordadas na resolução do problema. E as variáveis descritas nas questões
devem ser passíveis de potencial mensuração mediante experimentação ou observação do
objeto ou fenômeno de pesquisa em condições gerais (Reis, 2010).
As questões surgem de conjecturas e, depois de formuladas, têm de ser testadas utilizando
a metodologia. Se as previsões efetuadas se revelarem incorretas, a questão terá de ser
alterada. No caso das previsões se revelarem verdadeiras, então a questão terá uma base
científica e poderá ser aproveitada (Reis, 2010).
Importância das questões:
• Permitem o julgamento objetivo de alternativas para tratar um dado problema.
• Viabilizam o direcionamento da investigação, indicando o que deve ser pesquisado.
• Permitem a dedução de formulações gerais e manifestações empíricas do objeto de
pesquisa.
Questões:
•
Questão 01: As organizações têm realizado o outsourcing das atividades de segurança
da informação junto com o outsourcing de TI com o objetivo de redução de custos e
pela facilidade de gerenciamento de um único fornecedor não levando em consideração
a criticidade dos processos relacionados a segurança da informação.
•
Questão 02: As organizações não têm realizado nenhum tipo de avaliação de riscos
para o processo de outsourcing das atividades relacionadas a segurança da informação
de forma a considerarem os principais riscos e impactos de repassar atividades e
processos para uma empresa subcontratada.
49
•
Questão 03: As organizações não têm uma estratégia definida quanto a quais
atividades de segurança da informação terceirizar deixando de considerar a criticidade
dos processos envolvidos.
•
Questão 04: Ao realizar o outsourcing das atividades de segurança da informação, o
escopo ou estratégia adotada para o outsourcing não são levados em consideração a
importância da segurança da informação para a organização.
•
Questão 05: O fato do prestador de serviço ter acesso a informações sensíveis da
organização não afeta na definição de adoção de uma estratégia de outsourcing.
A seguir são listadas outras sugestões de questões.
•
A estratégia de outsourcing dos processos de segurança da informação são realizados
com base na experiencia adquirida em outsourcing de tecnologia da informação e em
seus fatores condicionantes.
•
O outsourcing dos processos de segurança da informação não são tratados com maior
atenção ou a atenção dada é a mesma dada aos processos de tecnologia da informação.
•
A maioria das organizações trata a segurança da informação como mais um processo
de tecnologia da informação e não como um processo independente.
•
As estratégias de outsourcing de segurança da informação adotadas são baseadas em
pré-conhecimentos ou análises de mercado e não em avaliações de risco ou impacto ao
negócio.
•
Não são realizadas avaliações de riscos com fundamentações científicas para avaliar as
ameaças correlacionadas, os impactos da concretização de uma ameaça no negócio e a
probabilidade de ocorrência de tais ameaças.
•
A probabilidade dos incidentes relacionados às operações e maior nas empresas que
possuem processos de segurança da informação terceirizados.
•
A maior incidência de incidentes nas organizações que possuem processos de
segurança da informação terceirizados.
•
O ambiente interno da organização exerce uma influência positiva sobre a estratégia de
terceirizar ou não os processos de segurança da informação.
50
•
A disponibilidade de recursos financeiros influencia positivamente na tomada de
decisão de outsourcing dos processos de segurança da informação.
3.4 – MÉTODOS DA INVESTIGAÇÃO
A investigação caracteriza-se por utilizar os conceitos, as teorias, a linguagem, as técnicas
e os instrumentos com a finalidade de dar respostas aos problemas e interrogações que se
levantam nos diversos âmbitos do trabalho (Reis, 2010; Reis, 2006).
Etapa teórica
Será realizada uma pesquisa mais aprofundada dos fundamentos teóricos dos assuntos já
publicados ligados ao tema. Nesta fase serão validados o tema, os objetivos e as questões
de investigação levando em consideração os pressupostos teóricos aprendidos na revisão
bibliográfica efetuada e o enquadramento teórico do tema.
Etapa empírica
Trata-se de um conjunto de procedimentos e os seus instrumentos para a elaboração das
ações metodológicas de cada etapa da pesquisa. Procura-se, nesta fase, testar as questões
no terreno para as tornar válidas e operacionais, para isso, realiza-se um estudo empírico
através dos instrumentos de recolha de dados de uma amostra. Depois são elaborados: a
recolha e análise dos dados, os resultados e as conclusões (Reis, 2010).
Veja a figura 01 na página 05 para um maior detalhamento.
Pesquisa da investigação
A forma de abordagem será qualitativa e quantitativa. Neste tipo de pesquisa considera-se
que há uma relação dinâmica entre o mundo real e o sujeito. A interpretação dos
fenômenos e a atribuição de significados são básicas nesta forma de abordagem. A análise
dos dados é indutiva. O processo e o seu significado são os focos principais de abordagem
(Reis, 2010).
A pesquisa da investigação será descritiva. Neste tipo de pesquisa, procura-se conhecer e
interpretar os fatos sem interferir nos mesmos. Caracteriza-se como o estudo que procura
determinar opiniões ou projeções futuras nas respostas obtidas. Visa a descrição do
fenômeno em estudo, a especificação dos conceitos decorrentes do mesmo e a elaboração
51
de um quadro conceptual que, além de definir a perspectiva do estudo, serve de ligação
entre os conceitos e a sua descrição.
Envolve o uso de técnicas de recolha de dados. Sua valorização está baseada na premissa
de que os problemas podem ser resolvidos e as práticas podem ser melhoradas através de
descrição e análise de observação.
Natureza: As pesquisas científicas podem ser classificadas em básica ou aplicada. Neste
trabalho foi utilizada a pesquisa aplicada que objetiva gerar conhecimentos para aplicação
prática e dirigida à solução de problemas específicos (Cervo & Bervian, 1996).
Quanto às Técnicas de Coleta de Dados: Serão realizadas entrevistas e aplicados
questionários para auxiliar o processo de coleta de dados junto aos especialistas do
departamento de SI e TI (Gil, 2009; Lakatos & Marconi, 2007).
Quanto à Abordagem: Adotou-se a abordagem quantitativa. A abordagem servirá para
analisar e discutir os resultados do levantamento realizado junto aos especialistas do
departamento de SI eTI (Gil, 2009).
3.5 – TIPOS DE ESTUDO
Nesta investigação será utilizado o método “indutivo” proposto pelos empíricos Bacon
(1561-1626), Hobes (1588-1679), Locke (1632-1704) e Hume (1711-1776). Método
indutivo é aquele que parte de questões particulares até chegar a conclusões generalizadas.
Considera que o conhecimento é fundamentado na experiência, não levando em conta
princípios preestabelecidos.
3.6 – POPULAÇÃO EM ESTUDO
Os métodos e a técnica devem adequar-se ao problema a ser estudado, às questões
levantadas que se queiram confirmar e do nível de abrangência do estudo (Gil, 2009;
Lakatos & Marconi, 2007).
Em uma investigação empírica as questões que se pretender estudar conduzem a quais os
métodos de análise devem ser utilizados para se validar os objetivos propostos.
A importância de selecionar uma amostra que seja representativa é a de que por meio dela
pode estabelece ou estimar as características da população (Cervo & Bervian, 1996).
52
Nesta investigação optou-se por usar uma amostra representativa de empresas brasileiras
que possuam áreas de tecnologia da informação, segurança da informação, outsourcing de
processos de tecnologia da informação e segurança da informação, bem como aquelas
organizações que pretendem terceirizar suas operações.
A pesquisa exploratória foi encaminhada aos departamentos de tecnologia da informação e
segurança da informação das empresas relacionadas ao estudo.
As empresas pesquisadas pertencem a segmentos da atividade econômica, educação,
envolvendo: Petróleo, Óleo e Gás; Educação; Serviços; Indústria Manufatureira; Varejo;
Saúde; Telecomunicações; Indústria do Consumo; Bancos e Financeiras; e Governo.
O delineamento da pesquisa pretendeu levantar e oferecer a possibilidade de “interrogação
direta” dos sujeitos relacionados ao problema de pesquisa, para se atingir o objetivo
proposto, o levantamento investigou a opinião dos sujeitos envolvidos e também os
contratos estabelecidos por estes sujeitos
A pesquisa exploratória foi realizada por diretores, gerentes, analistas de negócio,
coordenadores e outros funcionários.
A pontuação foi calculada através da média aritmética dos itens de cada fator,
determinando-se assim, o resultado da dimensão em que o sujeito se enquadra e em relação
à qual os valores mais elevados significam predominância dessa dimensão.
Foram realizadas também entrevistas exploratórias e análise de documentações
relacionadas ao problema em estudo. De acordo com a organização sequencial, este tipo
análise permite ao investigador um conhecimento mais holístico e contextualizado acerca
do problema em estudo, produzindo uma grande riqueza de informações que nem sempre é
possibilitada por outros métodos de avaliação.
Esta amostragem, não casual, não aleatória e não probabilística envolve juízo de valor de
quem seleciona. Assim, a construção da amostra é feita a partir de informações disponíveis
sobre a população estudada, procurando que a amostra seja um espelho tão fiel quanto
possível dessa população (Barañano, 2008).
O tipo de amostragem não aleatória e não probabilística utilizada foi a “orientada”. Neste
caso a seleção dos elementos da população e informações é feita por especialistas na área
53
de trabalho, e em função das características que esses elementos possuem relativamente
aos objetivos da pesquisa.
O estudo teve como âmbito empresas localizadas no Brasil, que possuam departamentos de
tecnologia da informação e segurança da informação e que determinadas atividades
operacionais de segurança da informação estejam, ou não, terceirizadas através de
contratos estabelecidos formalmente com prestadores de serviço.
Tais prestadores de serviço devem operar os processos de segurança da informação em
departamentos específicas como gestão da informação, infraestrutura, desenvolvimento e
análise de sistemas, telecomunicação e redes.
Foram analisadas tais estratégias verificando os requisitos relacionados, sua real
efetividade e seus riscos.
Esta avaliação foi baseada em fremeworks de mercados como a Iso/Iec 27001 – Sistemas
de gestão de segurança da informação; Iso/Iec 27002 – Código de prática para gestão da
segurança
da
informação;
Iso/Iec
27004
–
Information
security
management
measurements.
Quantificação da amostra
Segundo Barañano (2008) a dimensão da amostra depende de uma série de fatores e se os
elementos da população têm comportamentos similares, a dimensão da amostra pode ser
pequena.
3.7 – INSTRUMENTOS DE MEDIDA E RECOLHA DE DADOS
Foram utilizados dois tipos de fontes de pesquisa, as fontes primárias e as fontes
secundárias. Os dados primários foram coletados através de aplicação de inquéritos onde
foram colocadas questões relacionadas com o tema do projeto. Já os dados secundários
provêm da análise documental. Tais informações foram trabalhadas por terceiros e
procedem na leitura de livros, internet, jornais e revistas (Souza & Baptista, 2011).
Importante comentar que a escolha da técnica de investigação que foi utilizada pode
depender do tipo de questão formulada; do grau de controle que o investigador exerce
sobre os eventos a serem observados; e do foco da investigação se dirigir (Barañano,
2008).
54
Utilizamos a técnica de levantamento ou inquérito que é o método mais utilizado em
gestão e o instrumento base do mesmo será o questionário.
O inquérito é a recolha da informação com base numa amostra representativa através de
comunicação pessoal.
O inquérito utilizou a técnica de questionário aberto e fechado. O questionário é a
ferramenta utilizada para a obtenção de informação em primeira mão, onde o entrevistador
tem bastante conhecimento sobre o tema e forca os aspectos essenciais em que tenciona
aumentar os seus conhecimentos (Barañano, 2008).
Ainda segundo Barañano (2008), na investigação empírica, o questionário é fundamental
apara a verificação das questões previamente formuladas. Para isso, recorre-se ao
estabelecimento de relações enter duas ou mais varáveis construídas a partir da informação
obtida em diferentes questões do questionário.
Segundo Sousa e Baptista (2011) a aplicação de um questionário permite recolher uma
amostra dos conhecimentos, atitudes, valores e comportamentos. Desta forma deve-se ser
rigoroso na seleção do tipo de questionários de forma a aumentar a credibilidade do
mesmo.
Realizamos um levantamento das empresas brasileiras.
A ação acima foi facilitada devido ao fato de participarmos do “Grupo de Segurança da
Informação” da “Suceso”, instituição sem fins lucrativos que visa a disseminação da
informática e que possui um canal aberto com tais empresas.
Podemos citar algumas empresas como a Petrobras, Vale; Samarco; CST e Rede Globo de
Televisão.
Fizemos contato com as empresas para convidá-las a participar deste projeto e em
benefício forneceremos os resultados dos indicadores. Para tanto, foi realizado de forma
formal utilizando-se ofício, com o objetivo de marcar uma reunião para esclarecimento e
conhecimento do trabalho a ser desenvolvido.
Logo após realizamos a parte documental, onde solicitamos a autorização para o
desenvolvimento da pesquisa.
55
Os dados foram recolhidos através de entrevistas on-line, em vários momentos, de acordo
com a disponibilidade de horários dos sujeitos da amostra, nas instalações das empresas ou
não, dependendo de como forem disponibilizadas as informações.
Outros dados utilizados foram secundários (através de pesquisas bibliográficas e da
consulta à internet) e primários (obtidos através da pesquisa direta).
Recolha, verificação, análise e interpretação da informação
O questionário foi elaborado de forma a traduzir os objetivos do estudo numa linguagem
acessível ás unidades estatísticas que compõem a amostra.
Após a formulação de todas as questões, para garantir sua aplicabilidade, eficácia e sua
eficiência foi realizado um pré-teste ou ensaio do questionário em pequena escala. O préteste teve como resultado a confirmação da adequação do questionário ou, pelo contrário, a
verificação da não adequação do questionário e, portanto, a sua modificação, no todo ou
em parte (Barañano, 2008).
Utilizamos questões abertas, fechadas e em árvore denominados questionário misto.
A utilização de questões abertas permite respostas resumidas e evita-se o perigo de deixar
de fora alguma eventual resposta importante. Permite não enviesar as respostas do
entrevistado e constitui um apoio importante na interpretação dos resultados (Barañano,
2008).
A utilização de questões fechadas apresenta ao entrevistado uma lista pre-estabelecida de
respostas possíveis, de entre as quais este tem de indicar a mais parecida à resposta que
deseja dar.
Tais questões têm a vantagem da facilidade na codificação e análise dos resultados.
As respostas podem ser dicotômicas, sim ou não (S/N) onde o entrevistado deve indicar
uma delas. Outra fórmula a ser utilizada é a utilização de respostas múltiplas onde são
apresentadas uma lista de possíveis respostas. A instrução que se dará ao entrevistado para
assinalar as suas respostas variará segundo o objetivo pretendido (Barañano, 2008).
A utilização de questões em árvores permite que certas questões sejam determinadas pelas
respostas dadas às questões precedentes permitindo colocar a cada entrevistado apenas as
questões pertinentes.
56
FIGURA 09 – Inquérito por amostragem segundo Barañano (2008).
3.8 – VARIÁVEIS
Finalizado o processo de coleta de dados teóricos, verificou-se que existem variáveis que
fazem parte do contexto relacionado ao outsourcing de serviços de segurança da
informação e que possuem influencia no tema estudado. Estas variáveis foram listadas para
construção do instrumento de coleta de dados conforme descritos no Quadro 3.
As variáveis descrevem as características do atributo a medir, e são “Qualidades,
propriedades ou características de objetos, de pessoas ou de situações, que são estudadas
numa investigação”, podendo assumir diferentes valores (Fortin, 2003).
Quando um conceito é posto em ação numa investigação, ele adquire a designação de
variável, que corresponde ao conjunto de características ou qualidades de objetos ou de
situações que são estudadas numa investigação.
As variáveis utilizadas serão “dependentes”, ou seja, são aquelas em que o objetivo da
pesquisa está interessado em compreender, explicar ou rever; é a causa presumida de um
fenômeno. Estas variáveis podem ser qualitativas nominais, qualitativas ordinais ou
quantitativas (Reis, 2010).
TABELA 03 – Variáveis dependentes.
VARIÁVEIS DEPENDENTES
1.
2.
3.
Tipo de organização
Ramo de atividade
Localização geográfica
57
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
Quantitativo de empregados / funcionários na organização
Departamento de tecnologia da informação na organização
Quantitativo de empregados / funcionários na tecnologia da informação
Existência de um departamento dedicado de Segurança da Informação
Quantitativo de empregados / funcionários na Segurança da Informação
Subordinação do departamento de segurança da informação e ao departamento de tecnologia da
informação
Amplitude da segurança da informação
Importância da segurança da informação para a organização
Outsourcing de tecnologia da informação
Modalidade de outsourcing de TI utilizada na organização
Modalidade de outsourcing de Segurança da Informação utilizada na organização
Tipo de serviços / processos terceirizados
Serviços terceirizados que manipulam informações sensíveis da organização
Outsourcing de segurança da informação realizado junto com o outsourcing de tecnologia da
informação
Existência de um departamento dedicado de Segurança da Informação
Quantitativo de empregados / funcionários na Segurança da Informação
Subordinação do departamento de segurança da informação ao departamento de tecnologia da
informação
Amplitude da segurança da informação
Importância da segurança da informação para a organização
Outsourcing de tecnologia da informação
Modalidade de outsourcing de TI utilizada na organização
Modalidade de outsourcing de Segurança da Informação utilizada na organização
Escalas
Para medir os aspectos como atitudes ou opiniões é necessária a utilização de escalas.
Neste estudo foram utilizadas como base as escalas de Thurstone e Likert bem como as
seguintes escalas:
Escala nominal - Variáveis expressas na escala nominal podem ser apenas "iguais" ou
"diferentes" entre si. Não é feito qualquer ranking. Os números atribuídos servem apenas
para identificar a pertença ou não pertença a uma categoria, ou de identificação. Exemplo:
Matrículas de automóveis, códigos postais, estado civil, sexo, cor dos olhos, código de
artigo, código de barras.
Escala ordinal - A variável utilizada para medir uma determinada característica identifica
que é pertencente a uma classe e pressupõe que as diferentes classes estão ordenadas sob
um determinado ranking. Cada observação faz a associação do indivíduo medido a uma
determinada classe, sem no entanto quantificar a magnitude da diferença face aos outros
indivíduos. Exemplo: Escala social, escala salarial, escala usada na medida de opiniões.
Escala métrica - Para além de ser possível ordenar os indivíduos, é também feita uma
quantificação das diferenças entre eles. As escalas métricas dividem-se em dois subtipos:
58
Escala intervalar: Um caso particular (e não muito frequente) das escalas métricas em que
é possível quantificar as distâncias entre as medições mas onde não há um ponto nulo
natural e uma unidade natural. Exemplo clássico são as escalas de temperatura, onde não se
pode assumir um ponto 0 (ponto de nulidade) ou dizer que a temperatura X é o dobro da
temperatura Y.
Escala de razão ou rácio - A escala onde não só é possível quantificar as diferenças entre
as medições como também estão garantidas certas condições matemáticas vantajosas,
como um ponto de nulidade. Isto permite o quociente de duas medições,
independentemente da unidade de medida. É possível fazer diferenças e quocientes e logo
a conversão (de km em milhas, por exemplo). Exemplos de escalas de razão são a idade,
salário,
preço,
volume
de
vendas,
distâncias
e
quantidade
de
empregados.
(http://pt.wikipedia.org).
Descrevendo um pouco sobre escalas Reis (2010) acrescenta:
Escala de Thurstone – Utilizada para medir atitudes. Apresenta um conjunto de afirmações,
das quais o inquirido deve selecionar a opção “Concordo” ou “Discordo”. Este tipo de
escala não permite identificar a intensidade dos sentimentos em relação a cada fase.
Escala de Likert – Utiliza uma série de cinco proposições das quais o inquido deve
selecionar uma: “Concorda totalmente”, “Concorda”, “Sem opinião”, “Discorda”,
“Discorda totalmente”.
Alinhamento das dimensões, variáveis e escalas adotadas.
Como se poderá ver no questionário disponível em anexo 1, na tabela 4 descrevemos o tipo
de escala associado a cada variável.
TABELA 4 - Alinhamento das dimensões, variáveis e escalas adotadas.
Dimensão
Perfil
organização
da
Variáveis
Escala adotada
Tipo de organização
1.
2.
3.
Pública
Privada
Outros
Ramo de atividade
1.
Agricultura, pecuária, produção
florestal, pesca e aquicultura
Indústrias extrativas
Indústrias de transformação
Eletricidade e gás
Água, esgoto, atividades de gestão de
resíduos e descontaminação
2.
3.
4.
5.
Tipo de
escala
Ordinal
Ordinal
59
6.
7.
22.
1.
Construção
Comércio; reparação de veículos
automotores e motocicletas
Transporte, armazenagem e correio
Alojamento e alimentação
Informação e comunicação
Atividades financeiras, de seguros e
serviços relacionados
Atividades imobiliárias
Atividades profissionais, científicas e
técnicas
Atividades administrativas e serviços
complementares
Administração pública, defesa e
seguridade social
Educação
Saúde humana e serviços sociais
Artes, cultura, esporte e recreação
Outras atividades de serviços
Serviços domésticos
Organismos internacionais e outras
instituições extraterritoriais
Outros
Brasil
1.
2.
3.
4.
5.
1.
2.
Menor ou igual a 500 empregados
Menor ou igual a 1.000 empregados
Menor ou igual a 5.000 empregados
Menor ou igual a 10.000 empregados
Maior que 10.000 empregados
Não
Sim
Razão
1.
2.
3.
4.
5.
1.
2.
Menor ou igual a 10 empregados
Menor ou igual a 50 empregados
Menor ou igual a 100 empregados
Menor ou igual a 500 empregados
Maior que 500 empregados
Não
Sim
Razão
1.
2.
3.
4.
5.
Menor ou igual a 10 empregados
Menor ou igual a 50 empregados
Menor ou igual a 100 empregados
Menor ou igual a 500 empregados
Maior que 500 empregados
Razão
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
Localização
geográfica
Quantitativo
empregados
funcionários
de
/
Departamento de TI
na organização
Quantitativo
de
empregados
/
funcionários na TI
Ordinal
Nominal
Departamento
Segurança
Informação
de
da
Nominal
Quantitativo
empregados
funcionários
Segurança
Informação
de
/
na
da
Subordinação do
departamento de
ao departamento
TI
Amplitude
segurança
informação
Importância
segurança
do
SI
de
1.
2.
Não
Sim
Nominal
da
da
1.
2.
Corporativa
Exclusivamente TI
Ordinal
da
da
1.
2.
Importância estratégica
Importância operacional
Ordinal
60
Outsourcing &
informação para a
organização
Outsourcing de TI
terceirização
Modalidade de
outsourcing de TI
utilizada
Modalidade
outsourcing
utilizada
de
Sem importância
1.
2.
Não
Sim
Nominal
1.
2.
Fullutsourcing
Multisourcing ou Terceirização por
Atividade
Outra
Ordinal
Ordinal
3.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
1.
2.
Fulloutsourcing
Multisourcing ou Terceirização por
Atividade
Outra
Desenvolvimento de Sistemas
Manutenção de sistemas
Servicedesk
Serviços de Colaboração
Gerenciamento da LAN e WAN
Gerenciamento de Redes
Gerenciamento da Telefonia
Gerenciamento de Ativos de TI
Hospedagem de Servidores
Operação de Data Center
Segurança de Dados ("Backups")
Testes de vulnerabilidades
Auditorias
Proteção contra códigos maliciosos
Segurança de serviços de redes
Monitoramento de logs
Controle de acessos
Gestão de incidentes
Continuidade de negócios
Conformidades técnicas/compliance
Segurança física
Segurança da informação
Gerenciamento de firewalls
IDS/IPS
Controle de acesso lógico
Outro tipo de segurança lógica
Outra (Por favor especifique)
Não
Sim
1.
2.
Não
Sim
Nominal
1.
2.
Não
Sim
Nominal
3.
de
SI
Tipo de serviços /
processos
terceirizados
Estratégias
3.
Serviços
terceirizados
que
manipulam
informações
sensíveis
da
organização
Outsourcing de SI
realizado junto com o
outsourcing de TI
Estratégia
adotada
para o outsourcing de
SI
1.
2.
Ordinal
Nominal
61
Escopo
do
outsourcing de SI
1.
2.
3.
4.
5.
6.
7.
Fatores
condicionantes
Fatores que levaram
a
definição
de
realizar
o
outsourcing de SI
junto com o de TI
1.
2.
3.
4.
5.
6.
Todos os processos de Segurança da
Informação (críticos e não críticos)
Todos os processos críticos de
Segurança da Informação
Todos os processos não críticos de
Segurança da Informação
Alguns processos críticos de
Segurança da Informação
Alguns processos não críticos de
Segurança da Informação
Nenhum processo de Segurança da
Informação
Qualquer processo crítico ou não
crítico dependendo do cenário
Redução de custos finais de
contratação
Facilidade de gerenciamento de
poucos prestadores ou um único
fornecedor.
Experiência do prestador de serviço
em Segurança da Informação
Tendência de mercado
Falta de fornecedores qualificados
em Segurança da Informação
Pressões internas
Ordinal
Ordinal
Fatores que levaram
ao outsourcing de SI
Redução de Custo
Acesso ao Conhecimento e a
Tecnologia
3. Flutuação na carga de Trabalho
4. Melhoria na qualidade de prestação
de Serviço
5. Atividades Rotineiras
6. Dificuldades na gestão de Recursos
Humanos
7. Atividades com alto grau de
particularidade
8. Maior disponibilidade do serviço ou
atividade
9. Necessidade
de
melhoria
na
segurança das informações
10. Imposições externas
Ordinal
Fatores
de
realizar
outsourcing
serviços de SI
1.
Ordinal
não
o
de
1.
2.
2.
3.
4.
Falta de recursos para aquisição dos
serviços
Preços dos serviços muito elevados
Níveis de serviço do prestador de
serviço poderiam estar abaixo da
expectativa
Custos totais não seriam reduzidos
62
5.
Riscos
Avaliação dos riscos
do outsourcing de
serviços de SI
Riscos ou ameaças
Perda do controle dos processos ou
atividades para o prestador de serviço
6. Perda da flexibilidade
7. Dificuldade
na
gestão
ou
relacionamento com o prestador de
serviço
8. Necessidade de divulgar informações
confidenciais da empresa
9. Organização
possui
maior
capacidade que os prestadores de
serviço
10. Organização com maior capacidade
de solução de problemas
11. Localização geográfica do prestador
de serviço
1. Sim
2. Não
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
Controles utilizados
para mitigação dos
riscos
1.
2.
3.
4.
5.
6.
7.
Nominal
Acesso a informações sensíveis pelo
prestador de serviço
Perda de controle sobre as
informações sensíveis
Vazamento de informações
Perda de controle sobre os processos
Falta de experiência
Transferência de conhecimento
Assuntos legais e regulamentares
Diminuição de desempenho
Falta de experiência por parte do
prestador de serviço
Custos ocultos
Custos de transição inesperados
Falta de capacidade interna para
gerenciamento de prestadores de
serviço
Futura quebra de contrato com um
prestador de serviço
Outros
Ordinal
Aplicação
de
acordos
de
confidencialidade com prestadores de
serviço
Aplicação de SLA (Service Level
Agreement)
Implementação de modelos de
governança de prestadores de serviço
Benchmark
Elaboração de um plano de
outsourcing
Pesquisa sobre o fornecedor
Visitas técnicas
Ordinal
63
8.
Elaboração de um controle interno de
avaliação de qualidade de serviço
9. Multas
10. Auditorias internas
11. Auditorias externas e independentes
12. Outros
Alinhamento das variáveis com as justificativas
Na tabela 5 abaixo foram detalhados o alinhamento entre as variáveis e as justificativas.
TABELA 05 - Alinhamento das variáveis com as justificativas
Dimensão
Perfil
organização
da
Variáveis
Justificativa
Tipo de organização
Tem o objetivo de distinguir o setor público (às vezes
referido como setor estatal que é uma parte do Estado que
lida com a produção, entrega e distribuição de bens e
serviços para o governo ou para os seus cidadãos) do setor
privado ou iniciativa privada (conhecido como empresas
ou conjunto de atividades e organizações constituídas sem
participação do setor público) e de outras iniciativas não
governamentais ou privadas.
Ramo de atividade
O Ramo de atividade de uma determinada empresa é a área
do mercado em que ela se insere ou atua. Tem o objetivo
de estabelecer de qual ramo as empresas fazem parte.
O ramo de atividade será baseado no CNAE (Classificação
Nacional de Atividades Econômicas).
Site de consulta:
http://www.receita.fazenda.gov.br/pessoajuridica/cnaefisca
l/cnaef.htm
Objetivo de designar a localização geográfica da
organização.
Localização
geográfica
Quantitativo
empregados
funcionários
Departamento
tecnologia
informação
Quantitativo
empregados
funcionários na TI
Departamento
Segurança
Informação
de
/
Objetivo de designar a quantidade de empregados /
funcionários da organização.
de
da
Objetivo de identificar se existe um departamento de
tecnologia da informação formalizado dentro da
organização.
Objetivo de designar a quantidade de empregados /
funcionários do departamento de tecnologia da informação
da organização.
Objetivo de identificar se existe um departamento de
segurança da informação formalizado dentro da
organização.
de
/
de
da
64
Quantitativo
empregados
funcionários
Segurança
Informação
de
/
na
da
Objetivo de designar a quantidade de empregados /
funcionários da Departamento de Segurança da
Informação da organização.
Subordinação
do
departamento
de
Segurança
da
Informação
ao
departamento de TI
Amplitude
da
segurança
da
informação
Objetivo de identificar se o departamento de segurança da
informação existente esta subordinado ao departamento de
tecnologia da inforamação. Caso esteja pode ocorrer
problemas com autonomia.
Importância
da
segurança
da
informação para a
organização
Outsourcing
terceirização
&
Objetivo de identificar qual o escopo das atividades de
segurança da informação. Visa identificar se atende
somente as atividades de tecnologia da informação com
foco nas questões técnicas ou atua em demandas
corporativas como tratamento da informação, vazamento
de dados, etc.
Objetivo de identificar o posicionamento da Segurança da
Informação na organização.
O posicionamento pode estar ligado a amplitude da
Segurança da Informação.
Outsourcing de TI
Objetivo de identificar se a organização possui outsourcing
de tecnologia da informação.
Modalidade de
outsourcing de TI
utilizada
Objetivo de designar o tipo de modalidade utilizada para o
outsourcing de TI.
São disponibilizadas quatro opções:
1= Fulloutsourcing – Onde todas as atividades
operacionais de Tecnologia da informação são
terceirizadas com um único fornecedor.
2= Multisourcing ou Terceirização por Atividade – É
quando se terceiriza funções para mais de um fornecedor.
3= Outra – Parte dos serviços são terceirizados e parte são
executados pela equipe interna.
Modalidade
de
outsourcing
de
Segurança
da
Informação utilizada
Objetivo de designar o tipo de modalidade utilizada para o
outsourcing de SI.
São disponibilizadas quatro opções:
1= Fulloutsourcing – Onde todas as atividades
operacionais de Tecnologia da informação são
terceirizadas com um único fornecedor.
2= Multisourcing ou Terceirização por Atividade – É
quando se terceiriza funções para mais de um fornecedor.
3= Outra – Parte dos serviços são terceirizados e parte são
executados pela equipe interna.
Tipo de serviços /
processos
terceirizados
Objetivo de identificar quais os processos, serviços e
atividades terceirizados pela organização
65
Estratégias
Fatores
condicionantes
Serviços terceirizados
que
manipulam
informações sensíveis
da organização
Visa identificar se algum dos serviços terceirizados
possuem informações sensíveis aos quais o prestador de
serviço tenha acesso.
Outsourcing de SI
realizado junto com o
outsourcing de TI
Estratégia
adotada
para o outsourcing de
SI
Visa identificar se o processo de outsourcing de SI foi
realizado juntamente com o processo de outsourcing de TI
devido a fatores condicionantes.
Visa identificar alguma estratégia adotada pela
organização para realização do outsourcing de SI.
Escopo
do
outsourcing de SI
Visa identificar a estratégia adotada pela organização para
realização do outsourcing de SI relacionada ao escopo.
Fatores que levaram
ao outsourcing de SI
Objetivo de identificar as principais razões que levaram a
organização a realizarem o outsourcing de segurança da
informação.
Visa identificar qual foram os fatores ou justificativas da
realização do outsourcing das atividades e processos de
segurança da informação junto com o outsourcing de TI.
Fatores que levaram a
definição de realizar
o outsourcing de SI
junto com o de TI
Fatores
de
não
realizar o outsourcing
de serviços de SI
Riscos
Avaliação dos riscos
do outsourcing de
serviços de SI
Riscos ou ameaças
Controles utilizados
para mitigação dos
riscos
Objetivo de identificar as principais razões que levaram a
organização não realizarem o outsourcing de segurança da
informação e manterem a operação dentro da organização
Visa identificar se a organização se preocupou em realizar
uma avaliação dos principais riscos inerentes ao
outsourcing de SI e seus impactos.
Visa identificar quais os principais riscos ou ameaças
mapeados caso a organização tenha realizado a avaliação
de riscos.
Visa identificar quais os controles utilizados para
mitigação dos riscos relacionados ao outsourcing de
segurança da informação.
Alinhamento das questões com as variáveis
Na tabela 6 abaixo foram detalhados o alinhamento entre as questões e as variáveis
TABELA 06 - Alinhamento das questões com as variáveis
Questões
Dimensões
Variáveis
Questão 01: As organizações
têm realizado o outsourcing das
atividades de segurança da
informação junto com o
outsourcing de TI com o objetivo
de redução de custos e pela
facilidade de gerenciamento de
um único fornecedor não levando
Estratégias
•
•
•
•
Outsourcing de SI realizado junto com o
outsourcing de TI
Fatores que levaram a definição de realizar o
outsourcing de SI junto com o de TI
Benchmark considerados na decisão de
Outsourcing
Estratégia adotada para o outsourcing de SI
66
em consideração a criticidade dos
processos relacionados a
segurança da informação.
Questão 02: As organizações não
têm realizado nenhum tipo de
avaliação de riscos para o
processo de outsourcing das
atividades relacionadas a
segurança da informação de
forma a considerarem os
principais riscos e impactos de
repassar atividades e processos
para um empresa subcontratada.
Questão 03: As organizações não
têm uma estratégia definida
quanto a quais atividades de
segurança da informação
terceirizar deixando de considerar
a criticidade dos processos
envolvidos.
Riscos
•
Escopo do outsourcing de SI
•
Avaliação dos riscos do outsourcing de
serviços de SI
Riscos mapeados
Riscos inerentes a estratégia de outsourcing
que se concretizaram
Controles utilizados para mitigação dos riscos
•
•
•
Estratégias
•
•
•
•
•
Questão 04: Ao realizar o
outsourcing das atividades de
segurança da informação, o
escopo ou estratégia adotada para
o outsourcing não são levados em
consideração a importância da
segurança da informação para a
organização.
Estratégias
Riscos
Questão 05: O fato do prestador
de serviço ter acesso a
informações sensíveis da
organização não afeta a definição
de adoção de uma estratégia de
outsourcing
Estratégias
Riscos
•
•
•
•
•
•
•
•
•
•
•
•
Outsourcing de SI realizado junto com o
outsourcing de TI
Fatores que levaram a definição de realizar o
outsourcing de SI junto com o de TI
Benchmark considerados na decisão de
Outsourcing
Estratégia adotada para o outsourcing de SI
Escopo do outsourcing de SI
Outsourcing de SI realizado junto com o
outsourcing de TI
Fatores que levaram a definição de realizar o
outsourcing de SI junto com o de TI
Benchmark considerados na decisão de
Outsourcing
Estratégia adotada para o outsourcing de SI
Escopo do outsourcing de SI
Avaliação dos riscos do outsourcing de
serviços de SI
Outsourcing de SI realizado junto com o
outsourcing de TI
Fatores que levaram a definição de realizar o
outsourcing de SI junto com o de TI
Benchmark considerados na decisão de
Outsourcing
Estratégia adotada para o outsourcing de SI
Escopo do outsourcing de SI
Avaliação dos riscos do outsourcing de
serviços de SI
Alinhamento das variáveis com os autores
Na Tabela 7 abaixo foram detalhados o alinhamento entre as variáveis e os autores.
67
TABELA 07 - Alinhamento das variáveis com os autores
Dimensão
Perfil
organização
da
Variáveis
Autores
Tipo de organização
Chiavenato (2010)
Marques (2007)
Pires e Macêdo (2006)
Tachizawa e Pozo (2010)
Tachizawa (2010)
Baseado no CNAE que é o instrumento de
padronização nacional dos códigos de
atividade econômica e dos critérios de
enquadramento utilizados pelos diversos
órgãos da Administração Tributária do
Brasil.
Ramo de atividade
Localização geográfica
Quantitativo de empregados /
funcionários
Departamento de TI
Departamento de SI
Quantitativo de empregados /
funcionários na TI
Quantitativo de empregados /
funcionários na Segurança da
Informação
Subordinação do departamento de
SI ao departamento de TI
Amplitude da segurança da
informação
Importância da segurança
informação para a organização
Outsourcing
terceirização
Estratégias
&
da
Modalidade de outsourcing de TI
utilizada
Autoria própria
Chiavenato (2010)
Autoria própria
Autoria própria
Chiavenato (2010)
Chiavenato (2010)
Autoria própria
Khalfan (2004)
Martins e Santos (2005)
Shariati, Bahmania e Shams (2011)
Anderson e Choobineh (2008)
Khalfan (2004)
Martins e Santos (2005)
Shariati, Bahmania e Shams (2011)
Sveen, Torres, e Sarriegi (2009).
Antelo e Bru (2010)
Fill e Visser (2000)
Power et al. (2006)
Modalidade de outsourcing de SI
utilizada
Fill e Visser (2000)
Lacity et al. (2009)
Power et al. (2006)
Tipo de serviços / processos
terceirizados
Serviços
terceirizados
que
manipulam informações sensíveis
da organização
Hätönen e Eriksson (2009)
Outsourcing de SI realizado junto
com o outsourcing de TI
Axelrod & Sukumar, 2011
Karabulut et al. (2007)
Khalfan (2004)
68
Fatores que levaram a definição de
realizar o outsourcing de SI junto
com o de TI
Axelrod e Sukumar (2011)
Bhattacharya et al. (2003)
Chou e Chou (2009)
Craig e Tinaikar (2006)
Dutra et al. (2008)
Gonzalez et al. (2005)
Gwebu et al. (2010)
Hätönen e Eriksson (2009)
Karyda et al. (2006)
Khalfan (2004)
Lacity et al. (2009)
Lee e Kim (2010)
Power et al. (2006)
Prado (2009)
Raiborn et al. (2009)
Robertson et al. (2010)
Thouin et al. (2009)
Varadarajan (2009)
Estratégia
adotada
outsourcing de SI
Alvarez e Stenbacka (2007)
Anderson e Choobineh (2008)
Antelo e Bru (2010)
Chou e Chou (2009)
Ferreira e Laurindo (2009)
Gonzalez et al. (2005)
Gwebu et al. (2010)
Karyda et al. (2006)
Lacity et al. (2009)
Lacity et al. (2009)
Lee e Kim (2010)
Moon (2010)
Munoz e Welsh (2006)
Perez e Zwicker (2005)
Power et al. (2006)
Prado (2009)
Thouin et al. (2009)
Varadarajan (2009)
Alvarez e Stenbacka (2007)
Antelo e Bru (2010)
Chou e Chou (2009)
Hätönen e Eriksson (2009)
Power et al. (2006)
Varadarajan (2009)
Axelrod e Sukumar (2011)
Bhattacharya et al. (2003)
Chou e Chou (2009)
Craig e Tinaikar (2006)
Dutra et al. (2008)
Gonzalez et al. (2005)
Gwebu et al. (2010)
Hätönen e Eriksson (2009)
Karyda et al. (2006)
Khalfan (2004)
Lacity et al. (2009)
Lee e Kim (2010)
Power et al. (2006)
Prado (2009)
Raiborn et al. (2009)
Robertson et al. (2010)
para
o
Escopo do outsourcing de SI
Fatores
condicionantes
Razões que levaram ao outsourcing
de SI
69
Razões de não realizar
outsourcing de serviços de SI
Riscos
o
Avaliação dos riscos do outsourcing
de serviços de SI
Riscos ou ameaças
Controles utilizados para mitigação
dos riscos
Thouin et al. (2009)
Varadarajan (2009)
Gwebu et al. (2010)
Anderson e Choobineh (2008)
Axelrod (2004)
Carlson (2007)
Chou e Chou (2009)
Gwebu et al. (2010)
Karabulut et al. (2007)
Karyda et al. (2006)
Khalfan (2004)
Kshetri (2007)
Lee e Kim (2010)
Munoz e Welsh (2006)
Munoz e Welsh (2006)
Perçin (2008)
Perez e Zwicker (2005)
Alipour et al. (2004)
Anderson e Choobineh (2008)
Anderson e Choobineh (2008)
Axelrod (2004)
Carlson (2007)
Chou e Chou (2009)
Ferreira e Laurindo (2009)
Gwebu et al. (2010)
Hätönen e Eriksson (2009)
Karyda et al. (2006)
Khalfan (2004)
Kshetri (2007)
Lee e Kim (2010)
Oza et al. (2004)
Perçin (2008)
Power et al. (2006)
Prado (2009)
Raiborn et al. (2009)
Thouin et al. (2009)
Alipour et al. (2004)
Anderson e Choobineh (2008)
Anderson e Choobineh (2008)
Axelrod (2004)
Bergamaschi (2005)
Bhattacharya et al. (2003)
Brown e Wilson (2005)
Gonzalez et al. (2005)
Karabulut et al. (2007)
Khalfan (2004)
Kshetri (2007)
Lee e Kim (2010)
Martins e Santos (2005)
Prado (2009)
Raiborn et al. (2009)
Rodrigues et al. (2009)
Sveen et al. (2009)
70
3.9 – APLICAÇÃO E TRATAMENTO ESTATÍSTICO
O questionário é a ferramenta utilizada para a obtenção de informação em primeira mão. O
mesmo é fundamental para a verificação das questões previamente formuladas. Para isso,
recorre-se ao estabelecimento de relações entre duas ou mais variáveis construídas a partir
da informação obtida em diferentes questões do questionário. Os dois grandes objetivos de
um inquérito por amostragem e, portanto, de um questionário, e a verificação das questões
levantadas e a descrição de populações (Barañano, 2008).
Segundo seu conteúdo, será elaborado um questionário com o objetivo de quantificação
dos fatos, opiniões, questões bem como estimação da proporção.
Segundo sua forma, as questões poderão ser abertas, fechadas ou em árvore.
A aplicação do questionário será realizada através de questionário eletrônico enviado às
empresas através de email.
Para a realização desta pesquisa será elaborado um questionário dos principais temas
relacionados ao outsourcing de segurança da informação.
Os dados serão registrados, tabulados para posterior análise (quantitativo) respectivamente
através de técnicas estatísticas descritivas (media, desvio padrão, variância), multivariadas
e bivariadas.
Amostra
Como mencionado, nesta investigação optou-se por usar uma amostra representativa de
empresas do Brasil que possuem áreas de tecnologia da informação, segurança da
informação, outsourcing de processos de tecnologia da informação e segurança da
informação, bem como aquelas organizações que pretendem terceirizar suas operações.
A pesquisa exploratória foi encaminhada aos departamentos de tecnologia da informação e
segurança da informação de tais empresas.
As empresas pesquisadas pertencem aos seguintes segmentos da atividade econômica:
•
Agricultura, pecuária, produção florestal, pesca e aqüicultura
•
Indústrias extrativas
•
Indústrias de transformação
•
Eletricidade e gás
71
•
Água, esgoto, atividades de gestão de resíduos e descontaminação
•
Construção
•
Comércio; reparação de veículos automotores e motocicletas
•
Transporte, armazenagem e correio
•
Alojamento e alimentação
•
Informação e comunicação
•
Atividades financeiras, de seguros e serviços relacionados
•
Atividades imobiliárias
•
Atividades profissionais, científicas e técnicas
•
Atividades administrativas e serviços complementares
•
Administração pública, defesa e seguridade social
•
Educação
•
Saúde humana e serviços sociais
•
Artes, cultura, esporte e recreação
•
Outras atividades de serviços
•
Serviços domésticos
• Organismos internacionais e outras instituições extraterritoriais
A pesquisa exploratória foi respondida por analistas, auditores, gerentes, consultores,
coordenadores, chef security officers, diretores, vice presidente, especialistas, presidentes,
security officers, superintendentes e técnicos.
Foram enviados 144 questionários e respondidos 114 totalizando taxa de retorno de 79,1
%. Sendo que um questionário foi abandonado.
Análise dos dados
Para análise crítica dos dados coletados será utilizado o método de análise fatorial que
busca através da avaliação de um conjunto de variáveis, a identificação de dimensões de
variabilidade comuns existentes em um conjunto de fenômenos. (Corrar; Paulo; & Dias
Filho, 2007).
É uma técnica estatística que objetiva caracterizar um conjunto de variáveis diretamente
mensuráveis, denominadas de variáveis observadas, como a manifestação clara de um
conjunto menor de variáveis latentes (que não são mesuráveis diretamente), chamadas
72
fatores comuns, cada um deles atuando apenas sobre uma das variáveis observadas
(Aranha & Zambaldi, 2008).
Para avaliar se existe a associação entre as variáveis relacionadas no objetivo desse
trabalho usaremos testes de independência entre dois grupos, denominado Qui-quadrado de
Pearson.
Esse teste permite verificar se existe ou não independência entre as variáveis e o fato de
não serem independentes nos permite afirmar que existe uma associação entre elas
(Moretin, 1999).
O teste de Qui-quadrado de aderência consiste em comparar os dados obtidos
experimentalmente com os dados esperados de acordo com a lei. Das comparações surgem
diferenças que podem ser grandes ou pequenas. Se as diferenças forem grandes, a H0 (que
pressupõe um bom ajustamento) deverá ser rejeitada em favor da H0. Já se as diferenças
forem pequenas, a H0 não será rejeitada e as diferenças serão atribuíveis ao acaso.
Para se obter o resultado da associação entre as variáveis o Qui-quadrado de Pearson
analisa a diferença entre as frequências observadas e as frequências esperadas, quando
próximas de zero os grupos têm comportamentos semelhantes (Triola, 2008).
Cálculo realizado no teste qui-quadrado de Pearson:
Quando todas as frequências esperadas maiores que 5, a estatística apresenta uma
distribuição próxima a Qui-quadrado (s-1) x (r-1) graus de liberdade, onde s e r são,
respectivamente, número de linhas e de colunas da matriz formada pela tabela de
associação entre as variáveis/grupos.
Em alguns casos o tamanho amostral não é suficientemente grande para que as frequências
esperadas sejam, em pelo menos 20% das células, maiores que 5 com isso é aconselhável
utilizar o teste Exato de Fisher, similar ao Qui-quadrado de Pearson, onde a probabilidade
de significância do teste é dada por simulações de Monte Carlo.
73
Foram rejeitados, nos dois casos, as questões de independência entre as variáveis quando
encontramos pelos testes probabilidade de significância, usualmente denominada P-valor,
inferior a 5%, nível de significância adotado.
O P-valor, nesse caso, é a probabilidade de rejeitarmos a questão de independência entre as
duas variáveis quando na verdade elas o são.
A fim de descrever algumas variáveis estudadas foram utilizados recursos para resumos e
apresentação de dados, como: tabelas de distribuição de frequências, tabelas de
contingência (relacionando duas variáveis), gráficos de barras entre outros recursos.
Para as análises foi adotado o software SPSS versão 19.0 e o auxílio do Excel (pacote
Office).
Neste capítulo foram abordados pontos sobre metodologia da investigação constituída pelo
desenho onde optou-se por estudo descritivo com uma abordagem qualitativa mas com
fundamentos quantitativos para suportar a análise.
Os objetivos gerais e específicos destacando-se o estudo e identificação das organizações
do Brasil que possuam um sistema de gestão de segurança da informação ou processos
associados a este sistema e que possuam outsourcing de partes ou de todos os processos de
segurança da informação bem como a identificação das estratégias adotadas para o
outsourcing. Foram abordadas cinco questões relacionadas a investigação.
Os métodos adotados na investigação contemplaram as etapas teóricas e empiricas,
utilizado o método “indutivo” onde procurou-se conhecer e interpretar as informações e
fatos pesquisados.
A população do estudo focou em empresas do Brasil que possuem áreas de tecnologia da
informação, segurança da informação, outsourcing de processos de tecnologia da
informação e segurança da informação, bem como aquelas organizações que pretendem
terceirizar suas operações.
No próximo capítulo iremos abordar a análise dos resultados obtidos em consequência dos
dados primários recolhidos através das técnicas de inquérito.
74
CAPÍTULO IV – ANÁLISE E INTERPRETAÇÃO DOS DADOS
4.1 – DESENHO DA PESQUISA
A Figura 10 apresenta o desenho da pesquisa que orientou o desenvolvimento do estudo a
fim de atender os objetivos gerais e específicos.
Modelo
Instrumento
Recolha de
Tratamento e
dados
estudo de dados
Conclusões
Revisão de
literatura
Especificação
dos dados
População e
amostra
Tabulação dos
dados
Definição das
conclusões
Definição do
modelo
Definição de
conteúdo e
contexto
Amostra final
Análise crítica
dos dados
Apresentação
dos resultados
Análise
crítica
Definição da
forma de
resposta e
sequência
Envio do
questionário
Tratamento
estatístico
Análise crítica
Recolha de
dados
Questionário de
pré-teste
Validação do
instrumento
FIGURA 10 – Desenho da pesquisa
4.2 – MODELO
Nesta etapa foi realizada a revisão da literatura e definição do modelo teórico da pesquisa.
Foram definidas as variáveis e as questões relacionadas com as variáveis. Por fim realizouse uma análise crítica do modelo proposto conforme detalhado no Capítulo III.
75
4.3 – INSTRUMENTO
Nesta etapa foi definido o questionário como instrumento de pesquisa conforme detalhado
no Capítulo III item 3.7. Vale ressaltar que o questionário é uma técnica de observação que
tem como objetivo recolher informações baseando-se numa série ordenada de perguntas
(Reis, 2010).
A construção do questionário foi efetuada com base na definição do problema e no quadro
teórico de referência considerando os aspectos descritos por Reis (2010):
o Construído em blocos temáticos obedecendo a uma ordem lógica na elaboração
das perguntas.
o Redação realizada numa linguagem compreensível ao respondente.
o Formulação de perguntas evitando a possibilidade de interpretações dúbias ou
indução de respostas.
o Questionário deve conter apenas perguntas relacionadas com os objetivos da
pesquisa.
A elaboração do questionário compreendeu:
o Especificação dos dados baseando-se nos objetivos do questionário e
delimitação da população, recolhendo a uma amostra representativa.
o Definição do conteúdo e contexto das questões em uma ordem lógica.
o Definição de uma forma de resposta para cada questão, podendo ser abertas ou
fechadas ou de múltipla escolha e estabelecimento da ordem sequencial das
questões.
o Análise crítica do questionário pelas pessoas envolvidas com o presente estudo.
Nesta fase, o instrumento de pesquisa foi avaliado pelos orientadores e,
também, por especialistas nas áreas dos sistemas de informação. As sugestões
de revisão compreenderam a reformulação de perguntas. Todos os envolvidos
consideraram pertinentes as perguntas e o seu conteúdo.
o Aplicação do questionário de pré-teste a um grupo de especialistas incluindo
orientadores, para testar o tipo, forma e ordem das perguntas. Tanto a análise
76
crítica como a validação pré-teste resultaram em melhorias significativas para a
revisão do questionário.
o Validação final do questionário pelas partes interessadas.
4.4 – RECOLHA DE DADOS
Para fins do estudo, a população focou em empresas brasileiras.
Nesta etapa foram definidos a população e amostra, conforme Capítulo III item 3.6. A
definição e escolha da amostra foi amplamente discutida e avaliada.
O questionário foi enviado por email conjuntamente com uma carta de apresentação do
mestrando constando o objeto e os objetivos do estudo, o nome e os contatos do
mestrando, as instruções de preenchimento do questionário e um agradecimento.
Cada email continha um link para o questionário eletrônico individual e nominal.
O questionário foi conduzido numa base confidencial e nenhuma empresa foi ou será
identificada nos resultados finais. O nome dos envolvidos e empresas foram substituidos
por um número de código.
As conclusões da investigação serão encaminhadas às empresas que responderam ao
questionário, sob a forma de relatório final.
A coleta foi realizada nos meses de Janeiro e Fevereiro de 2012.
Foram enviados 144 questionários e respondidos 113 totalizando taxa de retorno de 78,5
%. Sendo que um questionário foi abandonado devido a falta de interesse no assunto do
entrevistado .
A b an d o n ad o s
1
R e s p o n d id o s
113
E n v ia d o s
144
GRÁFICO 01 – Totalização de respostas
4.5 – TRATAMENTO E ESTUDO DE DADOS
Após a fase de recolha de dados foi realizada a tabulação dos dados baseados na amostra
final. Foram utilizados fontes de dados primários coletados diretamente dos questionários
77
Nesta análise de dados tenta-se descrever as variáveis estudadas e sua distribuição, bem
como evidenciar as relações existentes entre o fenômeno estudado e outros fatores.
Consiste em verificar se as informações obtidas validam as questões formuladas (Reis,
2010).
O tratamento estatístico é fundamental no campo da investigação, permitindo ao
investigador organizar, interpretar e avaliar a informação numérica, fornecendo meios que
possibilitem provar ou refutar a existência de relação entre duas ou mais variáveis.
Nesta seção apresentaremos os resultados obtidos através das respostas da pesquisa
realizada.
4.5.1 - Posição organizacional
No resultado do quadro abaixo podemos verificar que 75% dos respondentes ocupam
cargos gerenciais.
TABELA 8 – Posição organizacional
Posição organizacional
Total
%
Gerente
40
35%
Analista
18
16%
Diretor
17
15%
Coordenador
14
12%
Security Officer
6
5%
Especialista
4
4%
Consultor
3
3%
CSO
2
2%
Técnico
2
2%
Vice-presidente
2
2%
Auditor
1
1%
CEO
1
1%
CTO
1
1%
Presidente
1
1%
Superintendente
Total geral
1
1%
113
100%
4.5.2 – Tipo de organização
No resultado do quadro abaixo podemos verificar que 85% dos respondentes pertencem a
empresas privadas. As outras opções correspondem a 15%.
78
TABELA 9 – Tipo de organização
Tipo de organização
Total
96
12
2
2
1
113
Privada
Pública
Outros
Pública/Privada
Privada não lucrativa
TOTAL
%
85,0%
10,6%
1,8%
1,8%
0,9%
100%
Tipo de organização
2%
1%
2%
10%
Pública
Privada
Privada não lucrativa
Pública/Privada
Outros
85%
GRÁFICO 02 – Tipo de organização
4.5.3 – Ramo de atividade
No resultado do quadro abaixo podemos verificar que 42% dos respondentes pertencem ao
ramo de atividade de indústrias de transformação, informação e comunicação, atividades
profissionais científicas e técnicas.
TABELA 10 – Ramo de atividade
Ramo de atividade
Informação e comunicação
Indústrias de transformação
Outros
Atividades profissionais, científicas e técnicas
Indústrias extrativas
Outras atividades de serviços
Comércio; reparação de veículos automotores e motocicletas
Eletricidade e gás
Transporte, armazenagem e correio
Atividades financeiras, de seguros e serviços relacionados
Educação
Atividades administrativas e serviços complementares
Saúde humana e serviços sociais
Total
22
15
13
11
9
9
7
5
5
4
4
2
2
%
19%
13%
12%
10%
8%
8%
6%
4%
4%
4%
4%
2%
2%
79
Administração pública, defesa e seguridade social
Agricultura, pecuária, produção florestal, pesca e aquicultura
Artes, cultura, esporte e recreação
Atividades imobiliárias
Construção
Água, esgoto, atividades de gestão de resíduos e descontaminação
Alojamento e alimentação
Organismos internacionais e outras instituições extraterritoriais
Serviços domésticos
Total
1
1
1
1
1
0
0
0
0
113
1%
1%
1%
1%
1%
0%
0%
0%
0%
100%
4.5.4 – Quantitativo de empregados
No resultado do quadro abaixo podemos verificar que 55% dos respondentes pertencem a
organizações com mais de 5.000 empregados caracterizadas como empresas de médio e
grande porte.
Quantitativo de empregados
20%
31%
Menor ou igual a 500 funcionários/empregados
Menor ou igual a 1.000 funcionários/empregados
Menor ou igual a 5.000 funcionários/empregados
16%
Menor ou igual a 10.000 funcionários/empregados
Maior que 10.000 funcionários/empregados
13%
20%
GRÁFICO 03 – Quantitativo de empregados
4.5.5 – Departamento de tecnologia da informação formalizado na
organização
No resultado do quadro abaixo podemos verificar que 94% das organizações possuem um
departamento de TI formalizado.
TABELA 11 – Departamento de TI formalizado na organização
80
Departamento de TI na organização
Sim
Não
Total
Total
106
7
113
%
94%
6%
100%
É importante realçar que apesar de 8 % dos respondentes não possuírem um departamento
de TI formalizado, isso não significa que a organização não tenha profissionais que atuam
no processo de tecnologia da informação.
4.5.6 – Quantitativo de empregados no departamento de TI
No resultado do quadro abaixo podemos verificar que 54% das organizações possuem até
50 funcionários/empregados no departamento de tecnologia da informação e 46% das
organizações possuem mais de 50 funcionários/empregados no departamento de tecnologia
da informação. Esta informação reforça o porte organizacional dos entrevistados onde 40%
destas empresas necessitam de um departamento de TI estruturado e com um número
significativo de profissionais.
Funcionários / Empregados de TI
6%
26%
Menor ou igual a 10 funcionários/empregados
21%
Menor ou igual a 50 funcionários/empregados
Menor ou igual a 100 funcionários/empregados
Menor ou igual a 500 funcionários/empregados
Maior que 500 funcionários/empregados
19%
28%
GRÁFICO 04 – Funcionários/Empregados de TI
4.5.7 – Departamento de segurança da informação formalizado na
organização
No resultado do quadro abaixo podemos verificar que 69% das organizações possuem um
departamento de segurança da informação formalizado. Esta informação denota que tais
empresas enxergam a segurança da informação como um departamento importante para os
processos internos e para a organização.
81
TABELA 12 – Departamento de segurança da informação
Departamento de segurança da informação
Sim
Não
Total
Total
78
35
113
%
69%
31%
100%
4.5.8 – Departamento de segurança da informação é subordinado ao
departamento de tecnologia da informação
Das empresas que possuem um departamento ou atividades relacionadas com a segurança
da informação, 68% destas organizações tem a segurança da informação subordinada ao
departamento de tecnologia da informação. Apenas 32% possuem a segurança da
informação de forma segregada.
TABELA 13 – Segurança da informação subordinada à TI
Segurança da informação subordinada à tecnologia da informação
Sim
Não
Total
Total
77
36
113
%
68%
32%
100%
4.5.9 – Quantitativo de empregados no departamento de segurança da
informação
No resultado do quadro abaixo podemos verificar que das 89 organizações possuem menos
de 10 funcionários/empregados no departamento de segurança da informação, 20 possuem
mais de 10 e menos de 50 funcionários/empregados no departamento de segurança da
informação e 4 organizações possuem mais de 50 funcionários no departamento de
segurança
da
informação.
Nenhuma
organização
possui
mais
de
500
funcionários/empregados no departamento de segurança da informação.
TABELA 14 – Quantitativo de funcionários/empregados de SI
Quantitativo de funcionários/empregados de SI
Menor ou igual a 10 funcionários/empregados
Menor ou igual a 50 funcionários/empregados
Menor ou igual a 100 funcionários/empregados
Menor ou igual a 500 funcionários/empregados
Maior que 500 funcionários/empregados
Total
Total
89
20
2
2
0
%
79%
18%
2%
2%
0%
113
100
82
4.5.10 – Amplitude da Segurança da informação
No resultado do quadro abaixo podemos verificar que 75% das organizações tratam o
assunto “segurança da informação” de forma corporativa. Já 25% das organizações tratam
exclusivamente no departamento de tecnologia da informação, provavelmente focalizando
nestes casos os assuntos mais técnicos e operacionais.
TABELA 15 – Amplitude da segurança da informação
Amplitude
Corporativa
Exclusivamente TI
Total
Total
85
28
113
%
75%
25%
100%
4.5.11 – Importância da Segurança da informação para a organização
No resultado do quadro abaixo podemos verificar que 65% das organizações consideram a
segurança da informação como estratégica, 33% das organizações consideram a segurança
da informação como um processo exclusivamente operacional e só 3% a considera sem
importância.
TABELA 16 – Importância da segurança da informação
Importância da segurança da informação para a organização
Importância estratégica
Importância operacional
Sem importância
Total
Total
73
37
3
113
%
65%
33%
3%
100%
4.5.12 – Outsourcing de processos, serviços ou atividades relacionadas à
Tecnologia
No resultado do quadro abaixo podemos verificar que das 75% das organizações possuem
algum tipo de outsourcing de processos, serviços ou atividades relacionados à tecnologia.
TABELA 17 – Outsourcing de processos, serviços ou atividades relacionadas à Tecnologia
Outsourcing de processos, serviços ou atividades relacionadas à Tecnologia
Sim
Não
Total
Total
85
28
113
%
75%
25%
100%
83
4.5.13 – Modalidade de outsourcing
Analisando a modalidade selecionada pelas organizações que possuem outsourcing de
processos, serviços ou atividades relacionadas à tecnologia, verificamos que 86% optaram
pela modalidade de multisourcing, onde parte ou todas as atividades/processos são
terceirizadas a mais do que um fornecedor.
A escolha do multisourcing pode ser uma decisão estratégica da organização para não
deixar todas as atividades sob a responsabilidade de um único fornecedor.
TABELA 18 – Modalidade de outsourcing
Modalidade de outsourcing
MultiSourcing
Outra
Fulloutsourcing
Total
Total
73
7
5
85
%
86%
8%
6%
100%
4.5.14 – Outsourcing de processos de segurança da informação
No resultado do quadro abaixo podemos verificar que 75% das organizações possuem
algum tipo de outsourcing de processos de segurança da informação, denotando que grande
parte das organizações demonstram confiança no processo de outsourcing de segurança da
informação.
TABELA 19 – Outsourcing de processos de segurança da informação
Outsourcing de processos de segurança da informação
Sim
Não
Total
Total
64
21
85
%
75%
25%
100%
É importante realçar que os entrevistados que não possuem outsourcing de processos de
segurança da informação foram direcionados para a questão abaixo, sendo a última questão
a ser respondida para tais casos.
4.5.15 – Fatores de não realizar o outsourcing dos processos de segurança
da informação
Conforme quadro anterior, 25% das organizações não realizam nenhum tipo de
outsourcing de suas atividades.
84
No quadro abaixo é apresentado a justificativa de não realizarem o outsourcing dos
processos de segurança da informação.
Foi utilizado como base a escala de Likert com 5 pontos, em que 1 ponto (nível 1) significa
que a variável pouco influenciou na decisão e 5 pontos (nível 5) significa que a variável
influenciou muito a decisão.
No resultado do quadro abaixo podemos verificar que cerca de 29% destas 21 organizações
justificaram como nível 5 a “necessidade de divulgar informações confidenciais da
empresa” como um fator condicionante para não realizar o outsourcing de atividades e
processos de segurança da informação, seguido da “perda do controle dos processos ou
atividades para o prestador de serviço”.
TABELA 20 – Fatores de não realizar o outsourcing dos processos de segurança
85
O fator “perda de controle” pode estar associado ao fato da organização entender que os
processos de segurança da informação são críticos para o negócio e o risco de perder o
controle pode afetar diretamente no atendimento de requisitos.
Analisando também o gráfico abaixo podemos perceber que a falta de recursos para
aquisição de serviços foi classificada como nível 1 (menor importância) por 38,1% das
empresas analisadas, seguido pelo nível 3 (média importância) em 23,8% das empresas.
O preço elevado do serviço foi classificado pela maior parte das empresas, 28,6% e 23,8%,
como de pouca importância (nível 1) e considerável importância (nível 4),
respectivamente.
O nível de serviço do prestador apresentou classificação mais frequente nos níveis 2,3 e 4,
respectivamente, 28,6%, 23,8% e 28,6%.
O custo total, a perda do controle dos processos ou atividades para o prestador de serviço e
a perda de flexibilidade foram classificados como nível 3, importância média, por 42,9%,
38,1% e 38,1% das empresas, respectivamente.
A dificuldade na gestão ou relacionamento com o prestador de serviço apresentou
classificação mais frequente nos níveis 1 e 2, com 23,8% e 47,6%, respectivamente.
A necessidade de divulgar informações confidenciais foi considerada de menor e razoável
importância por 57,1% das empresas, sendo, em contrapartida, considerada de máxima
importância por 23,8% delas.
A organização possui maior capacidade que os prestadores de serviço apresentou uma
classificação mais frequente nos níveis 2 e 4, respectivamente, 28,6% e 23,8%. Já o facto
da organização possuir maior capacidade de resolução de problemas aparece nos níveis 2 e
3 com frequências de 23,8% e 33,3%, respectivamente.
A localização geográfica do prestador de serviço foi considerada de menor e razoável
importância por 81% das empresas.
86
GRÁFICO 05 – Fatores de não realizar o outsourcing dos processos de segurança
A maior parte dos fatores apontados foram considerados pela maior parte das empresas
como de nível médio, são eles: custos totais não reduzidos, perda do controle dos
processos, perda de flexibilidade, dificuldade de relacionamento com o prestador,
organização com maior capacidade de solução de problemas.
Nenhum fator foi apontado pela maioria das empresas como de máxima importância. O
fator que apresentou maior frequência nesse nível foi a necessidade de divulgar
informações sensíveis da organização a prestadores de serviço.
Associando cada nível com um valor numérico de 1 a 5 podemos avaliar medidas de
tendência central e variabilidade, onde a média representa o valor médio do conjunto de
dados/notas, o desvio-padrão mede as distâncias das observações em torno da média. A
mediana é o valor que indica que metade do conjunto de dados são menores ou iguais a ele
e a outra metade maiores ou iguais e a moda representa os dados de maior frequência no
conjunto.
TABELA 21 – Medidas de tendência central e variabilidade
Perda do controle dos processos ou atividades para o prestador de
serviço
Custos totais não seriam reduzidos
Média
DesvioPadrão
Mediana
Moda
3,1
1,3
3
3
3
1,095
3
3
87
Perda de flexibilidade
2,86
1,352
3
3
Necessidade de divulgar informações confidenciais
Organização possui maior capacidade que os prestadores de
serviço
2,81
1,569
2
2
2,76
1,3
3
2
Preços do serviço muito elevados
2,76
1,48
3
2
Organização com maior capacidade de solução de problemas
Níveis de serviço do prestador poderiam estar abaixo da
espectativa
Dificuldade na gestão ou relacionamento com o prestador de
serviço
2,71
1,231
3
3
2,62
1,117
3
2; 4
2,48
1,078
3
3
Falta de recursos para aquisição de serviços
2,43
1,399
2
1
Localização geográfica do prestador de serviço
1,71
0,784
2
1
Analisando os dados obtidos, vemos que os dois principais fatores das organizações
entrevistadas não realizarem o outsourcing dos processos de segurança da informação esta
associado a “perda do controle dos processos ou atividades para o prestador de serviço” e
“custos totais não seriam reduzidos”.
4.5.16 – Modalidade de outsourcing de segurança da informação adotada
No resultado do gráfico abaixo podemos verificar que 89% das organizações optaram por
multisourcing ou terceirização por tipo de atividade.
Da mesma forma que na decisão de outsourcing de tecnologia da informação, nesta seção
podemos observar que a escolha do multisourcing pode ser uma decisão estratégica da
organização por não deixar todas as atividades sob a responsabilidade de um único
fornecedor.
Modalidade de outsourcing
6% 5%
89%
Full outsourcing
Multi Sourcing ou Terceirização por Atividade
Outra
GRÁFICO 06 – Modalidade de outsourcing de Segurança da informação
88
Não foram pesquisados os outros tipos de modalidade de outsourcing de segurança da
informação por representarem apenas 6%.
4.5.17 – Processos e serviços terceirizados
No resultado do gráfico abaixo podemos identificar os serviços de segurança da
informação mais terceirizados pelas organizações que responderam a pesquisa.
Entre tais serviços estão:
- Desenvolvimento de sistemas
- Manutenção de Sistemas
- Service Desk
- Testes de vulnerabilidades.
- Auditorias
Manute nção de siste mas
Se rvice De sk
Te ste s de vulne rabilidade s
A uditorias
Ge re nciame nto de fire walls
Ge r e nciame nto da L A N e W A N
Hospe dage m de Se rvidore s
Ge r e nciame nto de A tivos de TI
Ge re nc iame nto da Te le fonia
Ge re nciame nto de Re de s
O pe ração de Data Ce nte r
Se gurança de Dados ("Bac kup's")
IDS/IPS
Ge stão de incide nte s
Se gurança física
P rote ç ão contra códigos malic iosos
Controle de ace sso lógico
Monitorame nto de logs
Conformidade s té cnicas/c ompliance
Se gurança de se rviç os de re de s
Se rviços de Colaboração
Controle de ac e ssos
Se gurança da informação
O utro tipo de se gurança lógica
Continuidade de ne gócios
O utr a (P or favor e spe cifique )
0
10
20
30
40
50
GRÁFICO 07 – Processos e serviços terceirizados
89
Não procuramos nesta pesquisa identificar o motivo da escolha de tais processos, podendo
ser um assunto a ser tratado em futuras investigações.
4.5.18 – Acesso de prestador de serviço a informações sensíveis
Nesta seção foi possível identificar que 81% das organizações que fazem outsourcing de
suas atividades possuem informações sensíveis que são manipuladas por terceiros ou
prestadores de serviço, parecendo que este fator não foi condicionante para a não
realização do outsourcing.
Acesso de prestador de serviço a informações sensíveis
Sim
Não
19%
81%
GRÁFICO 08 – Acesso a informações sensíveis
4.5.19 – Outsourcing de Segurança da Informação realizado junto com o
outsourcing de tecnologia da informação
No resultado do gráfico abaixo podemos verificar que a maioria das organizações (55%)
realiza o outsourcing de Segurança da Informação juntamente com o outsourcing de
tecnologia da informação.
90
Outsourcing de SI Junto com o de TI
29
45%
35
55%
Sim
Não
GRÁFICO 09 – Outsourcing de SI junto com o de TI
4.5.20 – Fatores que levaram à decisão de realizar o outsourcing de
Segurança da Informação junto com o de tecnologia da informação
No quadro abaixo são apresentados os fatores de realização do outsourcing dos processos
de Segurança da Informação junto com o outsourcing de tecnologia da informação.
Foi utilizado como base a escala de Likert com 5 pontos, sendo que 1 ponto (nível 1)
significa que a variável pouco influenciou na decisão e 5 pontos (nível 5) significa que a
variável influenciou muito a decisão.
TABELA 22 – Fatores de decisão de outsourcing de SI junto com o de TI
91
Observa-se que a redução dos custos finais de contratação foi apontada como de máxima
importância, na hora de optar pela realização do outsourcing de segurança da informação
junto com o de tecnologia da informação, por 51% das empresas pesquisadas.
A maior parte das empresas, 66%, classificaram a facilidade de gerenciamento de poucos
ou único fornecedor como nível 4.
A experiência do prestador de serviço foi classificada com mais frequência nos níveis mais
altos - nível 3 (25,7%), nível 4 (40,0%) e nível 5 (28,6%).
A tendência de mercado e as pressões internas foram classificadas pela maior parte das
empresas como de importância média, 45,7% e 31,4%, respectivamente.
A falta de prestadores qualificados foi classificada com mais frequência nos níveis mais
baixos - nível 1 (28,6%), nível 2 (31,4%) e nível 3 (22,9%).
Em síntese, observa-se aqui que os fatores predominantes são a redução de custos finais, a
experiência do prestador de serviço em atividades relacionadas com a segurança da
informação e a facilidade de gerenciamento de poucos ou único fornecedor, pois
considerando a soma dos níveis 4 e 5 temos:
- 83% escolheram “Facilidade de gerenciamento de poucos prestadores ou um único
fornecedor”.
- 82% escolheram “Redução de custos finais de contratação”.
- 69% escolheram “Experiência do prestador de serviço em segurança da informação”.
As medidas de tendência central e variabilidade voltam a demonstrar a maior influência
destas variáveis na decisão.
TABELA 23 – Medidas de tendência central e variabilidade
Redução de custos finais de contratação
Facilidade de gerenciamento de poucos
prestadores ou um único fornecedor.
Experiência do prestador de serviço em
Segurança da Informação
Tendência de mercado
Falta de fornecedores qualificados em
Segurança da Informação
Pressões internas
Média
DesvioPadrão
Mediana
Moda
4,42
1,031
5
5
3,97
0,725
4
4
3,88
0,963
4
4
2,77
0,973
3
3
2,37
1,239
2
2
2,54
1,379
3
3
92
Podemos concluir que se um prestador de serviço de operações de tecnologia da
informação também oferecer serviços de segurança da informação, existirá uma grande
probabilidade de oferecerem os serviços de forma integrada, visando a redução de custos
finais, induzindo assim a organização a realizar o outsourcing integrado com o de
tecnologia da informação. Desta forma, a visão míope de redução de custos pode ofuscar
os riscos de segurança da informação envolvidos.
4.5.21 – Benchmark com outras empresas considerado na decisão de
outsourcing
No resultado do quadro abaixo podemos verificar que 50% das empresas realizaram um
benckmark com outras empresas o que pode ter influenciado na decisão de outsourcing.
TABELA 24 – Benchmark com outras empresas
Benchmark com outras empresas
Sim
Não
Total
Total
32
32
64
%
50%
50%
100%
O fator “Benchmark” poderia ter sido incluído como fator de decisão mais explicitamente,
embora o mesmo possa estar subentendido no item “Tendências de mercado”.
4.5.22 – Adoção de alguma estratégia para o outsourcing de serviços de
Segurança da Informação
No resultado do quadro abaixo podemos verificar que 58% das empresas não adotaram
nenhum tipo de estratégia na realização do outsourcing de serviços de Segurança da
Informação.
Esta informação pode indicar que tais organizações utilizaram a experiência ou a estratégia
adotada para o outsourcing de tecnologia da informação como apoio na tomada de decisão,
não levando em consideração a criticidade dos processos de segurança da informação.
Vale a pena ressaltar que 42% das empresas adotaram algum tipo de estratégia.
TABELA 25 – Adoção de estratégia para o outsourcing de SI
Adoção de estratégia para o outsourcing de SI
Sim
Não
Total
Total
27
37
64
%
42%
58%
100%
93
Das empresas que responderam que adotaram alguma estratégia para o outsourcing de
segurança da informação, algumas descreveram a estratégia adotada. Abaixo listamos
todos os comentários.
o “São terceirizadas as atividades que requerem constantes atualizações na qual a
empresa não possui tempo hábil para acompanhar essas atualizações com
recursos próprios”.
o “Atividades que envolvam acesso a dados sensíveis da empresa são
administradas internamente”.
o “Terceirização de alguns softwares de segurança e operação”.
o “Outsourcing apenas de aspectos operacionais e rotineiros”.
o “Gerenciamento de incidentes de segurança e auditorias internas”.
o “Monitoramento completo pelo fornecedor”.
o “Após o processo de classificação da informação, a organização migrou
processos com informações públicas para ambiente de terceiros, considerando
redução de custos e a internacionalização do negócio”.
o “Outsourcing especificamente de serviços como teste de invasão e auditoria”.
o “Notória especialização do fornecedor e capacidade de execução”.
o “Iniciar com processos específicos com vista a expandir para um possível
SOC2”.
o “Processos com alto grau de especialização requerido”.
o “Outsourcing de serviços cuja atividade é mais operacional. Estratégia e
diretrizes permanecem na empresa”.
2
Security Operation Center
94
o “Definição de uma área inicial, depois mais duas áreas de atuação e assim por
diante, mediante avaliação das atividades anteriores”.
o “Deixar muito claro os níveis de acordo de serviço e as multas para o não
atendimento dos requisitos”.
Tais informações são importantes para uma pesquisa mais aprofundada que pode servir de
apoio na tomada de decisão.
4.5.23 – Escopo adotado no outsourcing de segurança da informação
No resultado do gráfico abaixo podemos verificar que 36% realizam o outsourcing de
“qualquer processo crítico ou não crítico dependendo do cenário” e 27% dos respondentes
adotaram a estratégia de realizar o outsourcing de “alguns processos críticos de Segurança
da informação”.
GRÁFICO 10 – Escopo de outsourcing de Segurança da Informação
4.5.24 – Fatores que levaram à definição de realizar o outsourcing de
Segurança da informação
No quadro abaixo são apresentados os fatores ou variáveis de definição do outsourcing dos
processos de Segurança da Informação.
95
Foi utilizado como base a escala de Likert com 5 pontos, sendo que 1 ponto (nível 1)
significa que a variável pouco influenciou na decisão e 5 pontos (nível 5) significa que a
variável influenciou muito a decisão.
TABELA 26 – Fatores que levaram a definição de realizar o outsourcing de SI
Levando em consideração as respostas referentes ao nível 5, observamos que os fatores que
mais influenciam na decisão realizar o outsourcing de processos de segurança da
informação foram:
- “Necessidade de melhoria na segurança das informações”.
- “Melhoria na qualidade de prestação de Serviço”.
- “Maior disponibilidade do serviço ou atividade”.
- “Redução de custos”.
Observou-se que as 3 maiores escolhas referentes ao nível 5 estão relacionadas à qualidade
do serviço a ser executado.
4.5.25 – Avaliação de riscos do outsourcing
No resultado do quadro abaixo podemos verificar que 70% dos respondentes não realizam
nenhuma avaliação de riscos do processo de outsourcing de segurança da informação.
96
Desta forma não consideraram os principais riscos e impactos de repassar atividades e
processos para uma empresa subcontratada.
TABELA 27 – Avaliação de riscos do outsourcing
Avaliação de riscos do outsourcing
Sim
Não
Total
Total
19
45
64
%
30%
70%
100%
4.5.26 – Riscos avaliados
Das empresas que realizaram as avaliações de riscos, podemos verificar no quadro abaixo
que os riscos “Vazamento de informações” e “Acesso a informações sensíveis pelo
prestador de serviço” foram os mais avaliados seguido da “Perda de controle sobre as
informações sensíveis”.
TABELA 28 – Riscos avaliados
Risco
Vazamento de informações
Acesso a informações sensíveis pelo prestador de serviço
Perda de controle sobre as informações sensíveis
Transferência de conhecimento
Futura quebra de contrato com um prestador de serviço
Assuntos legais e regulamentares
Custos ocultos
Custos de transição inesperados
Falta de experiência por parte do prestador de serviço
Perda de controle sobre os processos
Falta de experiência
Falta de capacidade interna para gerenciamento de prestadores de serviço
Diminuição de desempenho
Total
%
18%
17%
11%
9%
7%
6%
6%
5%
5%
5%
4%
3%
2%
100%
97
ASSOCIAÇÃO ENTRE VARIÁVEIS
4.5.27 – Departamento de segurança da informação X Segurança da
informação subordinada a tecnologia da informação
Baseando-se nos resultados do quadro abaixo, como a probabilidade de significância do
teste (p-valor) é maior que o nível de significância de 5% adotado, não rejeitamos a
afirmativa de independência entre as variáveis.
Desta forma, podemos afirmar que a segurança da informação estar subordinada à
tecnologia da informação é independente da organização ter um departamento de
segurança da informação formalizado.
O presente estudo mostrou que 71.80% das organizações que possuem um departamento
de segurança da informação tem este departamento subordinado a tecnologia da
informação.
Das organizações que não possuem um departamento de segurança da informação, 60%
delas, possuem a segurança da informação subordinada a tecnologia da informação.
TABELA 29 – Associação entre variáveis - Departamento de segurança da informação X segurança da
informação subordinada a tecnologia da informação
Departamento de Segurança da informação
Segurança
da
informação Sim
Subordinada a tecnologia da
Não
informação
Total
Qui-quadrado = 1,548
56
Sim
71.80%
21
Não
60.00%
77
Total
68.10%
22
28.20%
14
40.00%
36
31.90%
78
100.00%
35
100.00%
113
100.00%
P-valor = 0,213
4.5.28 – Importância da segurança da informação X outsourcing de
processos de segurança da informação
Como a probabilidade de significância do teste (p-valor) é maior que o nível de
significância de 5% adotado, não rejeitamos a afirmativa de independência entre as
variáveis.
O facto da organização possuir ou não outsourcing de segurança da informação não
influencia na importância da segurança da informação para a mesma.
98
A maior parte das organizações respondeu que a segurança da informação tem importância
estratégica.
A maior parte das organizações respondeu que a segurança da informação tem importância
estratégica e a maioria das organizações na qual a segurança da informação tem
importância estratégica realizam o outsourcing de suas atividades. Conforme levantado
nesta pesquisa, a organização tende a buscar uma melhoria na qualidade dos serviços
prestados com redução de custos, resultado que talvez não seja alcançado com recursos
próprios ou internos.
TABELA 30 – Associação entre variáveis - Importância da segurança da informação X Outsourcing de
processos de segurança
Importânci
a da
Segurança
da
Informação
Outsourcing de Processos de segurança
Importância estratégica
44
Sim
68.80%
15
Não
71.40%
59
Total
69.40%
Importância Operacional
20
31.30%
6
28.60%
26
30.60%
Total
64
100.00%
21
100.00%
85
100.00%
Qui-quadrado = 0,053
P-valor = 0,817
4.5.29 – Segurança da informação subordinada a tecnologia da informação X
outsourcing de processos de segurança
Como a probabilidade de significância do teste (p-valor) é maior que o nível de
significância de 5% adotado, não rejeitamos a afirmativa de independência entre as
variáveis.
Não existe associação entre a empresa possuir outsourcing de processos de segurança e a
segurança da informação ser subordinada a tecnologia da informação.
TABELA 31 – Associação entre variáveis - Segurança da informação subordinada a tecnologia da
informação X Outsourcing de processos de segurança
Outsourcing de Processos de segurança
Sim
Não
Total
Sim
50
78.1%
14
66.7%
Segurança da informação
64
75.3%
Subordinada a tecnologia da
Não
14
21.9%
7
33.3%
21
24.7%
informação
Total
64
100.0% 21
100.0%
85
100.0%
Qui-quadrado = 1,116
P-valor = 0,291
4.5.30 – Adoção de estratégia para outsourcing de SI X Benchmark com
outras empresas
99
Como a probabilidade de significância do teste (p-valor) é menor que o nível de
significância de 5% adotado, rejeitamos a afirmativa de independência entre as variáveis.
Conclui-se que existe associação entre as duas variáveis em questão, ou seja, o fato de
haver ou não adoção de estratégia para o Outsourcing de segurança da informação está
associado ao fato da organização ter realizado algum tipo de benchmark com outras
empresas.
Neste caso, as organizações provavelmente foram influenciadas na sua estratégia de
outsourcing de segurança da informação por terem realizado um benchmark.
TABELA 32 - Associação entre variáveis - Adoção de estratégia para outsourcing de SI X Benchmark com
outras empresas
Adoção de Estratégia para o Outsourcing de SI
Sim
Não
Total
19
73.10%
12
32.40%
31
Benchmark com Outras Empresas Sim
49.20%
7
26.90%
25
67.60%
32
Não
50.80%
Total
26
100%
37
100%
63
100%
Qui-quadrado = 10,093 P-valor = 0,001
4.5.31 – Importância da segurança da informação X Escopo do outsourcing
de segurança da informação
Como a probabilidade de significância do teste (p-valor) é maior que o nível de
significância de 5% adotado, não rejeitamos a afirmativa de independência entre as
variáveis.
Podemos dizer que o escopo de Outsourcing de SI não possui nenhuma relação com a
importância da segurança da informação para a organização ou que o escopo de
Outsourcing de SI é independente da importância da segurança da informação.
TABELA 33 - Associação entre variáveis - Importância da segurança da informação X Escopo do
outsourcing de segurança da informação
Importância da Segurança da Informação
Importância
Importância
Total
estratégica
Operacional
Escopo do
Outsourcing
de SI
Todos os processos de Segurança da
Informação (críticos e não críticos)
Todos os processos críticos de
Segurança da Informação
Todos os processos não críticos de
Segurança da Informação
Alguns processos críticos de
Segurança da Informação
Alguns processos não críticos de
3
6,98%
1
5,00%
4
6,35%
1
2,33%
1
5,00%
2
3,17%
6
13,95%
0
0,00%
6
9,52%
10
23,26%
7
35,00%
17
26,98%
6
13,95%
2
10,00%
8
12,70%
100
Segurança da Informação
Nenhum processo de Segurança da
Informação
Qualquer processo crítico ou não
crítico dependendo do cenário
Total
3
6,98%
0
0,00%
3
4,76%
14
32,56%
9
45,00%
23
36,51%
100%
63
100%
43
100%
20
Qui-quadrado = 9,347
P-valor = 0,314
Exato de Fisher - P-valor = 0,6789
4.5.32 – Adoção de estratégia para o outsourcing X Acesso de prestador de
serviços a informações sensíveis
Como a probabilidade de significância do teste (p-valor) é maior que o nível de
significância de 5% adotado, não rejeitamos a afirmativa de independência entre as
variáveis.
Conclui-se que o acesso do prestador de serviço a informações sensíveis e a adoção de
estratégia para o Outsourcing de SI são independentes.
Nesta análise verifica-se que o fato do prestador de serviço ter acesso a informação não
afeta a adoção de uma estratégia. As organizações não consideram este item como fator
condicionante ao realizarem o outsourcing de segurança da informação.
TABELA 34 - Associação entre variáveis - Adoção de estratégia para o outsourcing X Acesso de prestador
de serviços a informações sensíveis
Adoção de Estratégia para o Outsourcing de SI
Sim
Não
Total
22
84.60%
32
86.50%
54
Acesso de Prestador de Sim
85.70%
Serviço a Informações Não
4
15.40%
5
13.50%
9
14.30%
Sensíveis
Total
26
100.00%
37
100.00%
63
100.00%
Qui-quadrado = 0,044
P-valor = 0,834
4.5.33 – Benchmark com outras empresas X Acesso a prestador de serviços
a informações sensíveis
Como a probabilidade de significância do teste (p-valor) é maior que o nível de
significância de 5% adotado, não rejeitamos a afirmativa de independência entre as
variáveis.
Neste caso, o acesso a informações sensíveis pelo prestador de serviço é independente do
Benchmark com outras empresas.
TABELA 35 - Associação entre variáveis - Benchmark com outras empresas X acesso a prestador de
serviços a informações sensíveis
101
Sim
Sim
Acesso a Prestador de
Serviço
a
Informações Não
Sensíveis
Total
Qui-quadrado = 0,169
P-valor = 0,681
26
Benchmark com Outras Empresas
Não
Total
83.90%
28
87.50%
54
85.70%
14.30%
100.00%
5
16.10%
4
12.50%
9
31
100.00%
32
100.00%
63
4.5.34 – Avaliações de riscos de outsourcing x Adoção de estratégia para o
outsourcing de SI
Como a probabilidade de significância do teste (p-valor) é menor que o nível de
significância de 5% adotado, rejeitamos a afirmativa de independência entre as variáveis.
Pode-se dizer que a adoção de estratégia para o outsourcing de SI esta associada às
avaliações de riscos de outsourcing.
A maioria das organizações entrevistadas não realizou qualquer tipo de avaliação de riscos.
Já a maior parte das organizações que definiram alguma estratégia realizaram alguma
avaliação de risco, o que explica o resultado significativo do teste.
TABELA 36 - Associação entre variáveis - Avaliações de riscos de outsourcing x Adoção de estratégia para
o outsourcing de SI
Avaliações de Riscos de Outsourcing
Sim
Não
Total
Adoção de Estratégia para o Sim
Outsourcing de SI
Não
Total
Qui-quadrado = 6,706
P-valor = 0,009
12
31%
26
41%
31
69%
37
45
100%
63
59%
100%
67%
14
6
33%
18
100%
4.5.35 – Escopo de outsourcing de SI X modalidade de outsourcing
Como a probabilidade de significância do teste (p-valor) é menor que nível de
significância de 5% adotado, rejeitamos a afirmativa de independência entre as variáveis,
ou seja, parece existir uma associação entre escopo de Outsourcing de SI e Modalidade do
Outsourcing. No entanto, é preciso referir que a tabela de contingência não respeita os
102
pressupostos mínimos do teste do qui-quadrado3, pelo que os resultados obtidos não são
rigorosos e têm de ser relativizados.
Ao nível de 5% de significância existe associação entre escopo de Outsourcing de SI e
Modalidade do Outsourcing.
TABELA 37 - Associação entre variáveis - Escopo de outsourcing de SI X Modalidade de outsourcing
Escopo do Outsourcing de SI
Full
outsourcing
Modalidade de Outsourcing
Multi
Sourcing
Outra
Total
Todos os processos de Segurança da
Informação (críticos e não críticos)
2
50%
2
4%
0
0%
4
6%
Todos os processos críticos
Segurança da Informação
0
0%
2
4%
0
0%
2
3%
Todos os processos não críticos de
Segurança da Informação
0
0%
6
11%
0
0%
6
10%
Alguns
processos
críticos
Segurança da Informação
2
50%
13
23%
2
67%
17
27%
Alguns processos não críticos de
Segurança da Informação
0
0%
8
14%
0
0%
8
13%
Nenhum processo de Segurança da
Informação
0
0%
2
4%
1
33%
3
5%
0
0%
23
42%
0
0%
23
4
100%
56
100%
3
100%
63
37%
100%
de
de
Qualquer processo crítico ou não
crítico dependendo do cenário
Total
Qui-quadrado = 26,081 P-valor = 0,010
Exato de Fisher - P-valor = 0,02675
4.5.36 – Outsourcing dos processos de segurança X Avaliação de riscos
Conforme observado, das organizações que possuem algum tipo de outsourcing de
segurança da informação (64 organizações), 45 delas (70%) não realizaram qualquer tipo
de avaliação dos riscos do processo. Atendendo a que temos pelo menos uma célula com
um valor esperado menor que 1, optamos por não realizar o teste do qui-quadrado.
3
Segundo Maroco (2003, 90), o teste do Qui2 “só pode ser aplicado com rigor quando se verificam todas as
condições seguintes: (1) N > 20; (2) todos os valores esperados sejam superiores a 1 e (3) que pelo menos
80% dos valores esperados sejam superiores ou iguais a 5.
103
TABELA 38 - Associação entre variáveis - Outsourcing dos processos de segurança X Avaliação de riscos
Outsourcing de Processos de segurança
Sim
Não
Total
Avaliação
outsourcing
de
riscos
do Sim
Não
Total
19
29,68%
0
0%
19
41%
45
70,32%
21
100%
66
64
100%
21
100%
75
59%
100%
4.5.37 – Outsourcing dos processos de segurança X Adoção de estratégias
de outsourcing
Conforme observado, das organizações que possuem algum tipo de outsourcing de
segurança da informação (64 organizações), 37 delas (58%) não adotaram nenhum tipo de
estratégia de outsourcing. Pela mesma razão anteriormente apresentada, não se justifica
aplicar o teste do qui-quadrado.
TABELA 39 - Associação entre variáveis - Outsourcing dos processos de segurança X Adoção de estratégias
de outsourcing
Outsourcing de Processos de segurança
Não Possui Outsourcing
Não
de Processos
Adoção de Estratégia
para o Outsourcing de
SI
Sim
Total
Sim
26
41%
0
0%
0
0%
26
23%
Não
37
58%
0
0%
0
0%
37
33%
Não Possui Outsourcing
de Processos
0
0%
2
10%
28
100%
30
27%
Não respondeu
1
2%
19
90%
0
0%
20
18%
64
100%
21
100%
28
100%
113
100%
Total
4.5.38 – Outsourcing dos processos de segurança da informação X
Benchmark com outras empresas
Conforme observado, das organizações que possuem algum tipo de outsourcing de
segurança da informação (64 organizações), 32 delas (50%) não realizaram nenhum tipo de
benchmark com outras empresas. Pela mesma razão já apresentada, não aplicamos o teste
do qui-quadrado à tabela de contingência abaixo apresentada.
104
TABELA 40 - Associação entre variáveis - Outsourcing dos processos de segurança da informação X
Benchmark
Outsourcing de Processos de segurança
Benchmark com
Outras Empresas
Sim
Não
Não Possui Outsourcing
de Processos
Total
Sim
31
48%
0
0%
0
0%
31
27%
Não
32
50%
0
0%
0
0%
32
28%
Não Possui Outsourcing de
Processos
0
0%
2
10%
28
100%
30
27%
Não respondeu
1
2%
19
90%
0
0%
20
18%
Total
64
100%
28
100%
113
100%
21 100%
4.5.39 - Importância da segurança da informação x outsourcing de SI
realizado junto com o outsourcing de TI
Como a probabilidade de significância do teste (p-valor) é maior que o nível de
significância de 5% adotado, não rejeitamos a afirmativa de independência entre as
variáveis.
A partir da estatística de teste qui-quadrado conclui-se que a importância da SI e o
Outsourcing de SI realizado junto com o outsourcing de TI são independentes.
TABELA 41 - Importância da segurança da informação x Outsourcing de SI realizado junto com o
outsourcing de TI
Importância da SI
Qui-quadrado = 0,331
Importância estratégica
Outsourcing de SI realizado junto com de TI
Sim
Não
23
65.71%
21
72.41%
Importância operacional
12
34.29%
8
27.59%
P-valor = 0,565
4.5.40 - Segurança da informação subordinada a TI x Importância da
Segurança da Informação
Como a probabilidade de significância do teste (p-valor) é menor que o nível de
significância de 5% adotado, rejeitamos a afirmativa de independência entre as variáveis.
Isto é, a importância dada pelas empresas à segurança da informação está associada à
subordinação da segurança da informação à tecnologia da informação.
TABELA 42 - Segurança da informação subordinada a TI x Importância da Segurança da Informação
105
Importância da Segurança da Informação
Importância
Importância
estratégica
Operacional
Total
Segurança da informação
Subordinada a tecnologia da
informação
Qui-quadrado = 5,004
Sim
46
63,01%
31
83,78%
77
70,00%
Não
27
36,99%
6
16,22%
33
30,00%
Total
73
100%
37
100%
110
100%
P-valor = 0,025
Nesta análise verifica-se que das organizações que afirmaram que a segurança da
informação tem importância estratégica ou operacional, a maior parte possuem a segurança
da informação subordinada à tecnologia da informação, sendo essa percentagem maior
entre as organizações que atribuem importância operacional à segurança da informação.
4.5.41 - Outsourcing de processos de segurança da informação x Acesso às
informações sensíveis pelo prestador de serviço
Como a probabilidade de significância do teste (p-valor) é menor que nível de
significância de 5% adotado, rejeitamos a afirmativa de independência entre as variáveis.
As variáveis “Outsourcing de Processos de Segurança” e “Acesso ao Prestador de Serviço
a Informações Sensíveis” são dependentes.
TABELA 43 - Outsourcing de processos de segurança da informação x Acesso às informações sensíveis pelo
prestador de serviço
Acesso às informações sensíveis pelo prestador de serviço
Sim
Outsourcing de Processos de
segurança
Qui-quadrado = 3,843
Não
Total
Sim
55
79,71%
9
56,25%
64
75,29%
Não
14
20,29%
7
43,75%
21
24,71%
Total
69
100%
16
100%
85
100%
P-valor = 0,049
As organizações que possuem prestadores de serviço com acesso a informação sensíveis
tendem a recorrer mais ao outsourcing de processos de segurança, o que configura um
risco para a organização.
4.5.42 - Importância da Segurança da Informação x Adoção de Estratégia
para o Outsourcing de SI
106
Como a probabilidade de significância do teste (p-valor) é maior que o nível de
significância de 5% adotado, não rejeitamos a afirmativa de independência entre as
variáveis.
Podemos dizer que a importância dada à segurança da informação não está associada à
adoção de uma estratégia para o outsourcing da segurança da informação.
TABELA 44 - Importância da Segurança da Informação x Adoção de Estratégia para o Outsourcing de SI
Adoção de Estratégia para o
Outsourcing de SI
Qui-quadrado = 0,475
Sim
Não
Total
P-valor = 0,491
Importância da Segurança da Informação
Importância
Importância
estratégica
Operacional
Total
19
44,19%
7
35,00%
26
41,27%
24
55,81%
13
65,00%
37
58,73%
43
100%
20
100%
63
100%
4.5.43 – Considerações finais
Ao descrever o comportamento dos dados percebemos que a maior parte das empresas,
85,9%, que possuem algum tipo de outsourcing de processos, serviços ou atividades
relacionados a tecnologia utilizam o modelo multisourcing.
Dentre os fatores em que levaram a decisão de não realizar o outsourcing de serviços de
segurança da informação os que mais foram importantes foram: a perda do controle dos
processos ou atividades para o prestador de serviços, custos totais não reduzidos, perda de
flexibilidade, necessidade de divulgar informações confidenciais.
A redução de custos finais de contratação, a facilidade de gerenciamento de poucos
prestadores ou um único fornecedor e a experiência do prestador de serviços foram
consideradas pela empresas os fatores mais importantes para a decisão de realizar o
outsourcing de segurança da informação junto com o de tecnologia da informação.
Das associações entre variáveis detectamos que a adoção de uma estratégia para o
outsourcing de segurança da informação se encontra associada ao fato das empresas
realizarem benchmark com outras empresas e fazerem avaliações de riscos de outsourcing.
Essa associação também ocorreu entre as variáveis importância da segurança da
informação (estratégica ou operacional) e o fato desta segurança da informação estar ou
não subordinada à tecnologia da informação, por um lado, e entre o recurso ao outsourcing
107
de processos de segurança e o acesso às informações sensíveis por parte do prestador de
serviço, por outro lado.
Neste capítulo foram abordados a análise dos resultados obtidos em consequência dos
dados primários recolhidos através das técnicas de inquérito e as análises relacionas as
quetões levantadas.
No próximo capítulo iremos abordar as principais conclusões do projeto de investigação.
108
CAPÍTULO V - CONCLUSÕES
Neste capítulo são apresentadas as considerações finais do trabalho. Estão detalhados as
principais conclusões do trabalho, limitações, contribuições para a pesquisa científica e
sugestões para futuras pesquisas.
5.1 – CONCLUSÕES
A preocupação essencial foi estudar como as organizações brasileiras estão realizando ou
pretendem realizar outsourcing de atividades e processos de segurança da informação e se
as mesmas estão adotando alguma estratégia. Assim, procurou-se apontar informações
relevantes para ajudar em futuras decisões relacionadas ao tema e proporcionar base e
incentivo às novas pesquisas e estudos científicos.
A realização deste trabalho de investigação permitiu examinar em profundidade vários
aspectos relacionados aos objetivos específicos e a confirmação de algumas questões.
Deve haver uma reflexão dos diversos fatores condicionantes que influenciam na decisão
do outsourcing das atividades de segurança da informação permitindo assim uma melhor
compreensão para apoio na tomada de decisão e na definição da estratégia.
Foram identificadas organizações que possuíam algum tipo de processo de segurança da
informação e que possuíam algum tipo de outsourcing.
Foi desenvolvido um instrumento de mensuração adaptado a realidade e validado por
especialistas da área, professores doutores na área de tecnologia da informação e Gestão
bem como executivos de TI que realizaram tais atividades.
Foram atendidos os objetivos específicos destacados abaixo:
o Identificar a importância da segurança da informação para a organização;
o Identificar se os processos e atividades de segurança da informação são
subordinadas a área de tecnologia da informação;
o Identificar se as organizações estão realizando o outsourcing das atividades
relacionadas a segurança da informação;
o Identificar se o outsourcing de segurança da informação é realizado junto com o
outsourcing de tecnologia da informação;
109
o Identificar se é realizado algum tipo de benchmark com outras organizações
como apoio na tomada de decisão;
o Identificar as modalidades, escopo e estratégias de outsourcing adotadas;
o Identificar se foram realizadas avaliações de riscos para ajudar na definição do
outsourcing;
o Identificar os fatores que levaram a definição de realizar o outsourcing de
Segurança da informação.
O propósito desta investigação não foi só, e apenas, explorar, compreender e descrever,
mas também, dar resposta às questões de investigação formuladas e testar as questões de
investigação, estruturante, orientadora e fundamental para este estudo.
A investigação agora finalizada permitiu responder claramente às questões que colocamos
no início da mesma e às questões de investigação:
Questão 01: As organizações têm realizado o outsourcing das atividades de segurança da
informação junto com o outsourcing de TI com o objetivo de redução de custos e pela
facilidade de gerenciamento de um único fornecedor não levando em consideração a
criticidade dos processos relacionados à segurança da informação.
A maioria das organizações respondentes (55%) realiza o outsourcing de segurança da
informação juntamente com o outsourcing de tecnologia da informação. Observa-se que a
redução dos custos finais de contratação foi apontada como de máxima importância na
hora de optar pela realização o outsourcing de segurança da informação junto com o de
tecnologia da informação por 51,4% das empresas estudadas.
Questão 02: As organizações não têm realizado nenhum tipo de avaliação de riscos para o
processo de outsourcing das atividades relacionadas à segurança da informação de forma a
considerarem os principais riscos e impactos de repassar atividades e processos para uma
empresa subcontratada.
Conforme observado, das organização que possuem algum tipo de outsourcing de
segurança da informação (64 organizações), 70% delas não realizaram qualquer tipo de
avaliação de risco relacionado ao outsourcing. Desta forma não são capazes de identificar
possíveis riscos e impactos para o processo.
110
Questão 03: As organizações não têm uma estratégia definida quanto a quais atividades de
segurança da informação terceirizar deixando de considerar a criticidade dos processos
envolvidos.
No resultado apresentado verificamos que 58% das organizações não adotaram nenhum
tipo de estratégia na realização do outsourcing de serviços de Segurança da Informação.
Esta informação pode indicar que tais organizações não levaram em consideração a
criticidade dos processos de segurança da informação.
Podemos observar nos resultados apresentados que a importância dada a segurança da
informação não está associada à adoção de estratégia para o outsourcing da segurança da
informação, ou seja, não é levado em consideração pelas organizações a adoção de uma
estratégia de outsourcing, mesmo que a segurança da informação seja importante para a
organização.
Questão 04: Ao realizar o outsourcing das atividades de segurança da informação, o
escopo ou estratégia adotada para o outsourcing não são levados em consideração a
importância da segurança da informação para a organização.
Conforme item 4.5.31 não existe nenhuma relação entre o escopo ou estratégia com a
importância da segurança da informação para a organização.
Questão 05: O fato do prestador de serviço ter acesso a informações sensíveis da
organização não afeta na definição de adoção de uma estratégia de outsourcing.
Conforme item 4.5.32 conclui-se que o fato do prestador de serviço ter acesso a
informação sensível da organização não afeta a adoção de uma estratégia. As organizações
não consideram este item como fator condicionante ao realizarem o outsourcing de
segurança da informação.
5.2 - LIMITAÇÕES
Este trabalho apresentou algumas limitações ao longo de sua execução especificamente
com relação ao contexto da pesquisa, a abrangência do tema e a disponibilidade de
informações.
As principais limitações encontradas foram:
111
- Há um número de respondentes inferiores ao esperado, apesar de ter sido suficiente para a
realização do trabalho, não permitindo o aprofundamento da validação do instrumento de
pesquisa. Este resultado pode ter sido devido as organizações não estarem dispostas a
compartilharem informações relacionadas ao tema ou que tratam como sensíveis e também
pode estar relacionado a falta de disponibilidade dos entrevistados.
Importante ressaltar que a maioria dos respondentes se propuseram a responder a partir de
um contato pessoal ou da intermediação de alguma pessoa que tivesse um contato mais
pessoal com o entrevistado.
5.3 - CONTRIBUIÇÕES
Um projeto de investigação não deverá constituir um fim em si mesmo, pelo contrário,
deverá contribuir para o desenvolvimento de uma determinada área (ou áreas) de estudo do
conhecimento. Consequentemente, o sucesso de uma dissertação de mestrado deve ser
perspectivado na medida em que os seus resultados são úteis para além de servirem os
propósitos do seu autor (Varajão, 1997; Gonçalves, 2005).
O trabalho desenvolvido e apresentado nesta dissertação busca tornar possível a obtenção
de um conjunto geral de contributos para a melhoria do estudo.
São identificados os principais contributos que julgamos terem sido alcançados pelo
cumprimento dos objetivos definidos:
A primeira contribuição é a própria revisão da literatura. A fundamentação teórica mostra o
resultado de uma revisão de literatura sobre os assuntos relacionados a este trabalho que
puderam contribuir para a realização do mesmo e para a construção do modelo de pesquisa
utilizado.
Outra contribuição é para a prática gerencial apresentando as estratégias adotadas para o
outsourcing de Segurança da Informação. Foi apresentado um instrumento de pesquisa
capaz de identificar os fatores de decisão de outsourcing de Segurança da Informação e
algumas estratégias adotadas bem como fatores condicionantes para um estudo mais
aprofundado ao realizar qualquer tipo de outsourcing de atividades relacionadas a
segurança da informação.
112
5.4 - SUGESTÕES PARA FUTURAS PESQUISAS
Existe a consciência de que este trabalho tem limitações e que representa apenas, um
primeiro passo no sentido de identificar estratégias e melhores práticas organizacionais
relacionadas ao tema. As conclusões alcançadas são entendidas como susceptíveis de
revisão e expansão através de outros estudos.
Sugere-se a ampliação da amostra de modo a ratificar estatisticamente os fatores adotados
no presente estudo.
Sugere-se a inclusão de fatores decisórios que levam as organizações a adorarem as
estratégias escolhidas detalhadas no item 4.1.21 – Escopo, principalmente o outsourcing de
processos críticos.
Sugere-se a inclusão de fatores que levaram as organizações a não realizar o outsourcing
de Segurança da Informação junto com o outsourcing de tecnologia da informação. Ou
seja, quais fatores foram preponderantes para que os serviços de outsourcing de Segurança
da Informação sejam separados dos serviços de outsourcing de tecnologia da informação.
Sugere-se desenvolver um inquérito junto das empresas portuguesas sobre o tema e realizar
uma comparação com as empresas brasileiras com o objetivo de identificar melhores
práticas de outsourcing de segurança da informação.
Sugere-se aprofundar na pesquisa identificando até que ponto a subordinação da segurança
da informação ao departamento de tecnologia da informação pode afetar na autonomia do
departamento de segurança da informação resultando em alguns conflitos de interesse.
Sugere-se aprofundar na pesquisa identificando os fatores mais críticos na realização de
outsourcing das atividades de segurança da informação e também como o acesso a
informações sensíveis da organização pelo prestador de serviço pode afetar nesta decisão.
Sugere-se aprofundar no estudo de controles que possam proteger a organização quando
prestadores de serviço executam atividades relacionadas a segurança da informação.
Sugere-se adaptar uma metodologia de avaliação de riscos que apoie os gestores na decisão
de realizar um outsourcing e que apoie na estratégia a ser adotada.
113
REFERÊNCIAS BIBLIOGRÁFICAS
ABNT. (2005). NBR/ISO/IEC 17799. Tecnologia da Informação: Código de prática para
a gestão da segurança da informação. Rio de Janeiro, Brasil: ABNT.
Alipour, M., Kord, B., & Tofighi, E. (2011). A study of different types of business risks
and their effects on banks' outsourcing process. International Journal of Business and
Social Science , 2(12), 227-237.
Alvarez, L. H., & Stenbacka, R. (2007). Partial outsourcing: A real options perspective.
International Journal of Industrial Organization. Elsevier , 25(1), 91-102.
Anderson, E. E., & Choobineh, J. (2008). Enterprise information security strategies.
Elsevier B.V. , 3(1), 22-29.
Antelo, M., & Bru, L. (2010). Outsourcing or restructuring: The diynamic choice. Elsevier
B.V. , 123(1), 1-7.
Aranha, F., & Zambaldi, F. (2008). Analise fatorial em administração. São Paulo:
Cengage.
Axelrod, C. W. (2004). Outsourcing Information Security. Hardcover, USA: Computer
Security Series. Artech House, INC. 685 Canton Street. Norwood, Ma 02062.
Axelrod, C. W., & Sukumar, H. (2011). Combined Impact of Outsourcing and Hard Times
on BPO Risk and Security. Cyber Security, Cyber Crime and Cyber Forensics:
Applications and Perspectives. , pp. 24-32, ISBN10: 1609601238.
Barañano, A. M. (2008). Métodos e técnicas de investigação em gestão – Manual de apoio
à realização de trabalhos de investigação. Lisboa: Edições Sílabo.
Barthelemy, J. (2003). The seven deadly sins of outsourcing. Academy of Management
Executive , 17(1), 87–100.
114
Bergamaschi, S. (2005). Modelos de Gestão da terceirização de Tecnologia de Informação:
um estudo exploratório. Tese de doutorado . São Paulo: Faculdade de Economia,
Administração e Contabilidade, USP.
Bhattacharya, S., Behara, R. S., & Gundersen, D. E. (2003). Business risk perspectives on
information systems outsourcing. International Journal of Accounting Information
Systems. Elsevier B.V. , 4(1), 75-93.
Brown, D., & Wilson, S. (2005). The black book of outsourcing: how to manage the
changes; challenges and opportunities. New Jersey: John Wiley & Sons.
Carlson, A. (16 de Set de 2009). The Risks In BPO Services. Acesso em 28 de Nov. de
2011, disponível em Article Niche Project: http://article-niche.com/launch/The-Risks-InBPO-Services.htm
Cervo, A. L., & Bervian, P. A. (1996). Metodologia científica. 4ed. São Paulo: Makron
Books.
Chiavenato, I. (2010). Administration: theory, procedure and practice. São Paulo:
Elsevier.
Chou, D. C., & Chou, A. Y. (2009). Information systems outsourcing life cycle and risks
analysis. Elsevier B.V. , 31(1), 1036–1043.
Classificação Nacional de Atividades Econômicas / CNAE. (11 de Janeiro de 2012).
Acesso em 11 de Janeiro de 2012, disponível em Receita Federal - Brasil:
http://www.receita.fazenda.gov.br/pessoajuridica/cnaefiscal/cnaef.htm
Corrar, L. J., Paulo, E., & Dias Filho, J. M. (2007). Analise multivariada - para os cursos:
de administraçao, ciencias contabeis e economia. São Paulo: Atlas.
Craig, D., & Tinaikar, R. (2006). Divide and conquer: rethinking IT strategy. Mckinsey
Quarterly , pp. 1-10.
115
Creswell, J. W. (2007). Projeto de Pesquisa: métodos qualitativo, quantitativo e misto.
Trad. Luciana de Oliveira da Rocha. 2ª ed. Porto Alegre: Artmed.
Dutra, A. S., Saratt, N., & Pires, R. M. (2008). Um passo além da terceirização. Porto
Alegre: Badejo Editorial.
Ellram, L., & Billington, C. (2001). Purchasing leverage considerations in the outsourcing
decision. European Journal of Purchasing & Supply Management , 7(1), 15-27.
Escala (estatística). (11 de Janeiro de 2012). Acesso em 11 de Janeiro de 2012, disponível
em wikipedia.org: http://pt.wikipedia.org/wiki/Escala_(estat%C3%ADstica)
Ferreira, A. M., & Laurindo, F. J. (2009). Outsourcing decision making aspects considered
by IT departments in Brazilian companies. J. Production Economics. Elsevier B.V. ,
122(1), 305–311.
Fill, C., & Visser, E. (2000). The outsourcing dilemma: a composite approach to make or
buy decision. Management Decision , 38(1), 43-50.
Fortin, M. F. (2003). Processo de Investigação - da Concepção à Realização. (3ª ed.).
Loures: Lusociência - Edições Técnicas e Científicas.
Friedman, T. L. (2005). The world is flat. . New York: Farrar, Straus, & Giroux.
Gil, A. C. (2009). Métodos e técnicas de pesquisa social. 6. ed. São Paulo: Atlas.
Gonçalves, R. (2005). Modelo explicativo das iniciativas de comércio electrónico. Tese de
Doutoramento, Universidade de Trás-Os-Montes e Alto Douro - UTAD, Vila Real,
Portugal.
Gonzalez, R., Gasco, J., & Llopis, J. (2005). Information systems outsourcing success
factors: a review and some results. Information Management & Computer Security Emerald Group Publishing , 13(5), 399 - 418.
116
Gonzalez, R., Gasco, J., & Llopis, J. (2006). Information systems outsourcing: A literature
analysis. Information & Management. Elsevier B.V. , 43(1), 821–834.
Gottfredson, M., Puryear, R., & Phillips, S. (2005). Strategic Sourcing: From Periphery to
the Core. Harvard Business Review Online , 83(2), 1-10.
Gwebu, K. L., Wanga, J., & Wang, L. (2010). Li Wang..Does IT outsourcing deliver
economic value to firms? Elsevier B.V. , 19(1), 109-123.
Harland, C. M., Knight, L. A., Lamming, R. C., & Walker, H. (2005). Outsourcing:
assessing the risks and benefits for organizations, sectors and nations. International
Journal of Operations & Production Management, 25(1), 831-850.
Hätönen, J., & Eriksson, T. (2009). 30+ years of research and practice of outsourcing –
Exploring the past and anticipating the future. . Journal of Internacional Management. ,
15(1), 142-155.
Institute, O. (s.d.). The Outsourcing Institute. Acesso em 15 de Outubro de 2011,
disponível
em
Top
Ten
Outsourcing
Survey
available:
http://www.outsourcing.com/content.asp?page=01b/articles/intelligence/oi_top_ten_survey
.html
Karabulut, Y., Kerschbaum, F., Massacci, F., Robinson, P., & Yautsiukhin, A. (2007).
Security and Trust in IT Business Outsourcing: a Manifesto. Elsevier B.V. , 179(1), 47-58.
Karyda, M., Mitrou, E., & Quirchmayr, G. (2006). A framework for outsourcing IS/IT
security services. Information Management & Computer Security - Emerald Group
Publishing , 14(5), 402-415.
Khalfan, A. M. (2004). Information security considerations in IS/IT outsourcing projects:a
descriptive case study of two sectors. International Journal of Information Management.
Elsevier B.V. , 24(1), 29–42.
117
Krathwohl, D. R. (1988). How to prepare a research proposal: Guidelines for funding and
dissertations in the social and behavioral sciences. Syracuse, NY: Syracuse University
Press.
Kshetri, N. (2007). Institutional factors affecting offshore business process and information
technology outsourcing. Elsevier , 13(1), 38-56.
Lacity, M. C., Khan, S. A., & Willcocks, L. P. (2009). A review of the IT outsourcing
literature: Insights for practice. Elsevier B.V. , 18(1), 130-146.
Lakatos, E. M., & Marconi, M. A. (2007). Metodologia do trabalho científico. 7 ed. São
Paulo: Atlas.
Lee, R. P., & Kim, D. (2010). Implications of service processes outsourcing on firm value.
Industrial Marketing Management. Elsevier B.V. , 39(1), 853–861.
Mamede, Henrique São. (2006). Segurança Informática
Lisboa/Porto/Coimbra: FCA – Editora de Informática, Lda.
nas
Organizações.
Marques, M. C. (2007). Aplicação dos Princípios da Governança Corporativa ao Sector
Público. Revista de Administração Contemporânea , 11(2), 11-26.
Marroco, J. (2003). Análise estatítica com utilização do SPSS. 2º Edição. Lisboa: Edições
Sílabo.
Martins, A. B., & Santos, C. A. (2005). A methodology to implement an information
security Management system. Journal of Information Systems and Technology
Management - TECSI FEA USP , 2(2), 121-136.
Maskell, P., Pedersen, T., Pedersen, B., & Dick-Nielsen, J. (2007). Learning paths to
offshore outsourcing – from cost reduction to knowledge seeking. Center for Strategic
Management and Globalization Copenhagen Business School , 14(3), 239-257.
118
Melo, F. V., & Marques, É. V. (2011). IT – Information technology service evaluation
factors: a post-contract outsourcing study. Estratégia e Negócios , 4(1), 88-107.
Moon, Y. (2010). Efforts and efficiency in partial outsourcing and investment timing
strategy under market uncertainty. Computers & Industrial Engineering. Elsevier. , 59(1),
24–33.
Moretin, L. G. (1999). Estatística Básica. 7ª ed. São Paulo: Makron Books.
Morgan, G. (2004). SPSS for introductory statistics: use and interpretation. New Jersey
London : Lawrence Erltaum.
Munoz, J. M., & Welsh, D. H. (2006). Outsourcing in the IT industry: The case of the
Philippines. Entrepreneurship Mgt. Springer Scienc. , 2(1), 111–123.
Oza, N., Hall, T., Rainer, A., & Grey, S. (2004). Critical factors in software outsourcing: a
pilot study. ACM Association for Computing Machinery , 67-71.
Perçin, S. (2008). Fuzzy multi-criteria risk-benefit analysis of business process outsourcing
(BPO). Information Management & Computer Security - Emerald Group Publishing ,
16(3), 213-234.
Perez, G., & Zwicker, R. (2005). Selection of information technology suppliers: a study on
evaluation
procedures
and
selection
criteria.
REVISTA
DE
ADMINISTRAÇÃO
MACKENZIE , 6(2), 159-180.
Pires, J. C., & Macêdo, K. B. (2006). Cultura organizacional em organizações públicas no
Brasil. Revista de Administração Pública , 40 (1), 81-105.
Power, M. J., Desouza, K. C., & Bonifazi, C. (2006). Outsourcing Handbook: How to
Implement a Successful Outsourcing Process. London: GBR: Kogan Page Ltd.
119
Prado, E. P. (2009). Information and communication technology outsourcing: an analysis
of the vendors’ views. Revista Eletrônica de Administração. Escola de Administração da
Universidade Federal do Rio Grande do Sul. , Edição 64, 15(3).
Raiborn, C. A., Butler, J. B., & Massoud, M. F. (2009). Outsourcing support functions:
Identifying and managing the good, the bad, and the ugly. Elsevier B.V. , 52(1), 47 - 35.
Reis, F. L. (2010). Como elaborar uma dissertação de mestrado. Lisboa: Pactor.
Reis, L. G. (2006). Produção de monografia - da teoria à prática. DF: Senac.
Robertson, C. J., Lamin, A., & Livanis, G. (2010). Stakeholder Perceptions of Offshoring
and Outsourcing: The Role of Embedded Issues. Journal of Business Ethics. Springer. ,
95(1), 167–189.
Rockart, J. F., Earl, M. J., & Ross, J. W. (1996). Eight Imperatives for the New IT
Organization. Sloan management review , 38(1), 43-55.
Rodrigues, A. C. (2007). Caracterização de soluções de comércio electrónico B2C.
Dissertação de mestrado, Universidade de Trás-Os-Montes e Alto Douro - UTAD, Vila
Real, Portugal.
Rodrigues, L. C., Maccari, E. A., & Simões, S. A. (2009). It management design at the top
100 brazilian companies, according to their cios. Journal of Information Systems and
Technology Management , 6(3), 483-506.
Rodrigues., J. A., & Pamplona, R. F. (2007). Repertório de conceitos trabalhistas. São
Paulo: LTR.
Shariati, M., Bahmania, F., & Shams, F. (2011.). Enterprise information security, a review
of architectures and frameworks. Elsevier B.V. Procedia Computer Science. , 3(1), 537–
543.
120
Smith, H. A., & Mckeen, J. D. (2006). IT in 2010: The Next Frontier. MIS Quarterly
Executive. University of Minnesota. , 5(3), 125-136.
Souza, M. J., & Baptista, C. S. (2011). Como fazer investigação, dissertações, teses e
relatórios segundo Bolonha. Lisboa: Pactor.
Sveen, F. O., Torres, J. M., & Sarriegi, J. M. (2009). Blind information security strategy.
Elsevier B.V. , 2(3), 95-109.
Tachizawa, T. (2010). Gestão ambiental e responsabilidade social corporativa: estratégias
de negócios focadas na realidade brasileira (6a ed.). São Paulo: Atlas.
Tachizawa, T., & Pozo, H. (2010). Monitoring environmental liabilities with support of the
technology and information system. Journal of Information Systems and Technology
Management. , 7 (1), 95-120.
Thouin, M. F., Hoffman, J. J., & Ford, E. W. (2009). IT outsourcing and firm-level
performance: A transaction cost perspective. Information & Management. Elservier B.V. ,
46(8), 463–469.
Triola, M. F. (2008). Introdução à Estatística. 10ª ed. Rio de Janeiro: LTC.
Varadarajan, R. (2009). Outsourcing: Think more expansively. Journal of Business
Research. Elsevier BV. , 62(11), 1165–1172.
Varajão, J. E. (1997). A arquitectura da gestão de sistemas de informação. Dissertação de
mestrado, Universidade do Minho.
121
ANEXOS
ANEXO 01 – QUESTIONÁRIO
Pesquisa de Dissertação de Mestrado
Página 1. - Introdução
No cenário atual, as empresas para se manterem competitivas precisam aprimorar seu
modelo de gestão. Tais empresas tendem a buscar um maior nível de maturidade e utilizar
melhores práticas de gestão. Este assunto se torna mais importante quando tais empresas
possuem colaboradores ou terceiros que lhes prestam serviços relacionados às suas
operações.
Atualmente, há uma realidade que se apresenta como uma forte tendência: a terceirização
dos serviços de Segurança da Informação como ocorreu com os serviços de Tecnologia da
Informação.
Entende-se aqui como Segurança da Informação a proteção da informação da organização
de vários tipos de ameaças para garantir a continuidade, minimizar o risco e maximizar o
retorno sobre os investimentos e as oportunidades do negócio, obtidas a partir da
implementação de um conjunto de controles adequados incluindo políticas, processos,
procedimentos e ferramentas tecnológicas.
Esta pesquisa visa coletar dados das estratégias adotadas pelas organizações no que se
refere ao Outsourcing das operações de Segurança da Informação e os riscos inerentes a
tais estratégias.
Página 2.- Informações da Organização
*1. Cargo do responsável por responder a pesquisa:
*2. Departamento do responsável por responder a pesquisa:
*3. Nome da organização:
*4. Tipo de organização:*
122
Pública
Privada
Privada não lucrativa
Pública/Privada
Outros
*5. Localização geográfica:*
*6. Ramo de atividade:*
Agricultura, pecuária, produção florestal, pesca e aqüicultura
Indústrias extrativas
Indústrias de transformação
Eletricidade e gás
Água, esgoto, atividades de gestão de resíduos e descontaminação
Construção
Comércio; reparação de veículos automotores e motocicletas
Transporte, armazenagem e correio
Alojamento e alimentação
Informação e comunicação
Atividades financeiras, de seguros e serviços relacionados
Atividades imobiliárias
Atividades profissionais, científicas e técnicas
Atividades administrativas e serviços complementares
Administração pública, defesa e seguridade social
Educação
Saúde humana e serviços sociais
Artes, cultura, esporte e recreação
Outras atividades de serviços
Serviços domésticos
Organismos internacionais e outras instituições extraterritoriais
Outros
*7. Descreva abaixo a descrição geral do negócio:
Página 3.- Informações da Organização
*8. Quantitativo de Empregados / Funcionários da Organização:*
Menor ou igual a 500 funcionários/empregados
Menor ou igual a 1.000 funcionários/empregados
Menor ou igual a 5.000 funcionários/empregados
Menor ou igual a 10.000 funcionários/empregados
Maior que 10.000 funcionários/empregados
*9. Possui um departamento de Tecnologia da Informação formalizado na organização?*
Sim
Não
123
*10. Quantitativo de funcionários/empregados no departamento de Tecnologia da
Informação:*
Menor ou igual a 10 funcionários/empregados
Menor ou igual a 50 funcionários/empregados
Menor ou igual a 100 funcionários/empregados
Menor ou igual a 500 funcionários/empregados
Maior que 500 funcionários/empregados
*11. Possui um departamento de Segurança da Informação formalizada na organização?*
Sim
Não
*12. O departamento de Segurança da Informação é subordinado ao departamento de
Tecnologia da Informação?*
Sim
Não
*13. Quantitativo de funcionários/empregados na Segurança da Informação:*
Menor ou igual a 10 funcionários/empregados
Menor ou igual a 50 funcionários/empregados
Menor ou igual a 100 funcionários/empregados
Menor ou igual a 500 funcionários/empregados
Maior que 500 funcionários/empregados
*14. Qual a amplitude do departamento de Segurança da Informação?*
Corporativa
Exclusivamente TI
*15. Qual a importância da segurança da informação para a organização?*
Importância estratégica
]Importância operacional
Sem importância
Página 4: Outsourcing
Nesta fase gostaríamos de entender o processo de outsourcing da organização.
Possui algum tipo de outsourcing de processos, serviços ou atividades relacionadas a
Tecnologia?
Sim
Não
124
* Qual a modalidade de outsourcing de tecnologia adotada na organização?
Full outsourcing
Multi Sourcing ou Terceirização por Atividade
Outra
* Possui algum tipo de outsourcing de processos, serviços ou atividades relacionadas a
Segurança da Informação?
Sim
Não
Se a resposta for “Não”:
* Que fatores levaram à decisão de NÃO realizar o outsourcing de serviços de Segurança
da Informação? Escolha as opções que justifiquem sua resposta por ordem de importância.
Avalie sendo Nível 1 - Menos Importante até o Nível 5 - Mais importante.
Se a resposta for “Sim”:
*Qual a modalidade de outsourcing de Segurança da Informação adotada na organização?
Full outsourcing
Multi Sourcing ou Terceirização por Atividade
Outra
*Quais os tipos de processos, serviços ou atividades terceirizados?
Desenvolvimento de Sistemas
Manutenção de sistemas
Service Desk
Serviços de Colaboração
Gerenciamento da LAN e WAN
Gerenciamento de Redes
125
Gerenciamento da Telefonia
Gerenciamento de Ativos de TI
Hospedagem de Servidores
Operação de Data Center
Segurança de Dados ("Backup's")
Testes de vulnerabilidades
Auditorias
Proteção contra códigos maliciosos
Segurança de serviços de redes
Monitoramento de logs
Controle de acessos
Gestão de incidentes
Continuidade de negócios
Conformidades técnicas/compliance
Segurança física
Segurança da informação
Gerenciamento de firewalls
IDS/IPS
Controle de acesso lógico
Outro tipo de segurança lógica
Outra (Por favor especifique
* Algum(uns) dos processos, serviços ou atividades terceirizados possuem informações
sensíveis da empresa que são manipulados pelo prestador de serviço?
Sim
Não
Página 5: Outsourcing de Segurança da Informação
Nesta seção iremos abordar questões relacionadas ao outsourcing dos processos, serviços
ou atividades de Segurança da Informação caso sua organização possua alguma
modalidade de outsourcing relacionada a Segurança da Informação. Caso não possua click
no botão "Seguinte".
* O outsourcing de Segurança da Informação é realizado junto com o outsourcing de TI?
Sim
Não
* Que fatores levaram à decisão de realizar o outsourcing de Segurança da Informação
"junto com o outsourcing de Tecnologia? Escolha as oções que justifiquem sua resposta.
Avalie sendo Nível 1 - Menos Importante até o Nível 5 - Mais importante.
126
* O Benchmark com outras empresas foi considerado na decisão de outsourcing de
Segurança da Informação?
Sim
Não
* Foi adotada alguma estratégia para o outsourcing de serviços de Segurança da
Informação?
Sim
Não
* Descreva a estratégia adotada:
* Qual o escopo adotado no outsourcing de Segurança da Informação?
Todos os processos de Segurança da Informação (críticos e não críticos)
Todos os processos críticos de Segurança da Informação
Todos os processos não críticos de Segurança da Informação
Alguns processos críticos de Segurança da Informação
Alguns processos não críticos de Segurança da Informação
Nenhum processo de Segurança da Informação
Qualquer processo crítico ou não crítico dependendo do cenário
* Quais os fatores levaram a definição de realizar o outsourcing de Segurança da
Informação. Escolha as oções que justifiquem sua resposta. Avalie sendo Nível 1 - Menos
Importante até o Nível 5 - Mais importante.
127
* Foram realizadas avaliações de risco formais antes da realização de um outsourcing de
serviços de Segurança da Informação?
Sim
Não
* Escolha abaixo alguns dos riscos que foram avaliados:
Acesso a informações sensíveis pelo prestador de serviço
Perda de controle sobre as informações sensíveis
Vazamento de informações
Perda de controle sobre os processos
Falta de experiência
Transferência de conhecimento
Assuntos legais e regulamentares
Diminuição de desempenho
Falta de experiência por parte do prestador de serviço
Custos ocultos
Custos de transição inesperados
Falta de capacidade interna para gerenciamento de prestadores de serviço
Futura quebra de contrato com um prestador de serviço
Outra (Por favor especifique)
* Algum risco mapeado que se concretizou?
Sim
Não
Não sei responder
* Escolha abaixo os controles utilizados para a mitigação de riscos?
Aplicação de acordos de confidencialidade com prestadores de serviço
Aplicação de SLA (Service Level Agreement)
Implementação de modelos de governança de prestadores de serviço
Benchmark
Elaboração de um plano de outsourcing
Pesquisa sobre o fornecedor
Visitas técnicas
Elaboração de um controle interno de avaliação de qualidade de serviço
Multas
Auditorias internas
Auditorias externas e independentes
Não sei responder
Outra (Por favor especifique)
Página 6: Fim da pesquisa
128
Você chegou ao final da pesquisa.
Informamos que esta pesquisa é confidencial, restrita aos responsáveis, orientador e
coorientador. Os dados estarão disponíveis para consulta e após o término da análise,
encaminharemos as conclusões do trabalho.
Muito obrigado pela disponibilidade e participação.
129