Tenho observado junto as organizações de pequeno e médio porte a prática da terceirização da gestão e dos serviços de tecnologia da informação, uma prática recomendável visto que não é possível financeiramente manter uma profissional qualificado exclusivo para cada área de tecnologia da informação.
Mas nesta prática um risco altíssimo se esconde.
Quem está fazendo a auditoria, fiscalizando e comprovando que as práticas e metodologias empregadas pelo terceirizado de tecnologia estão de fato funcionando corretamente?
Tive conhecimento de dois casos onde organizações confiaram em terceiros e por falta de auditoria externa ou até mesmo interna, amargaram prejuízos altíssimos.
O primeiro caso ocorreu por falha na política de backup da empresa, oque levou a mesma a restaurar uma cópia de segurança de 1 ano atrás, perdendo assim o controle de seus ativos físicos.
O segundo caso ocorreu por desvio de dinheiro em uma rotina envolvendo o setor de recursos humanos da organização.
De fato as empresas de pequeno e médio porte não conseguem mensurar o quanto seus ativos de informação são valiosos (visto que não possuem gestão de segurança da informação), sendo somente calculados em desastres que custam boas quantias de dinheiro.
Contudo fica a dica. Faça auditorias regulares nos sistemas de tecnologia de sua organização. Verifique as rotinas e metodologias. Solicite restores de backups e testes de penetração / intrusão em sua rede de computadores por exemplo.
A auditoria em segurança da informação é fundamental pois somente ela é capaz de fornecer um parâmetro ISENTO e NEUTRO dos métodos, políticas e procedimentos em vigência dentro e fora da organização.
Grande abraço
Arlei Vladmir de Souza
