O que pode e o que não deve ser terceirizado em TI

O que terceirizar: operação rotineira e não-diferenciador

Help Desk (suporte a usuários): Ticket de senha esquecida, software não funciona, Wi-Fi não conecta. Trabalho repetitivo com SLA clara. MSP escalona para 10-20 técnicos em turno, seu employee faz isso sozinho. Terceirizar reduz custo 40-60%. Risco: MSP tem menos contexto de negócio — exige bom nível 1 seu lado para filtrar tickets que precisam expertise interna.

Backup e recuperação de desastres (DR): Rodar backup todo dia, testar restore, gerenciar retenção de dados. Trabalho operacional, exige atenção obsessiva a detalhes, raramente gera diferenciador. MSP com expertise em backup reduz risco de falha — você consegue algo que interno raramente faz bem (testar restore regularmente). Terceirizar aqui é bom investimento.

Monitoramento de infraestrutura: Monitora 24/7 CPU, disco, memória, rede. Alerta quando algo fica anormal. Sem isso, problema descobre quando usuário reclama. MSP com NOC pode oferecer monitoramento 24/7 mais barato que contratar técnico 24/7 seu lado.

Patches e updates: Manter sistemas operacionais, aplicações, firmware atualizados é tarefa operacional crítica mas rotineira. MSP pode gerenciar plano de patch — você testa pequeno lote, MSP rola para tudo. Reduz risco de deixar lacuna de segurança aberta.

Email corporativo: Rodar seu próprio servidor de email é possível, mas exige expertise específica (configuração de spam filter, backup de mailbox, recovery de crashed database de email). Cloud (Microsoft 365, Google Workspace) é mais simples — terceirizar é prática comum.

Infraestrutura de cloud (IaaS): AWS, Azure, Google Cloud — você fornece computação, storage, rede. Você não "terceiriza" no sentido de outsourcing — você usa ferramenta. Mas operação é responsabilidade cloud provider. Fazer isso internamente é construir seu próprio datacenter — não faz sentido para maioria.

O que não deve ser terceirizado facilmente

Arquitetura de sistema e decisões de tecnologia: Escolher qual banco de dados, qual linguagem de programação, qual cloud provider — decisões que afetam negócio por anos. Se você terceiriza isto para consultor ou fornecedor, você fica dependente de suas visões. Internamente, você acumula conhecimento que vira inteligência competitiva. Terceirizando, você perde contexto — próximo consultor tem que reaprender.

Desenvolvimento de aplicação crítica: Se aplicação que você vende para cliente é feita por terceiro, você não controla qualidade, timeline, secrets de como funciona. Exceção: startup que usa agência para produto MVP inicial — ok, mas depois você leva internalização. Aplicação crítica para negócio tem que ter time dedicado seu lado — mesmo que pequeno.

Segurança corporativa: Firewallpolicies, acesso a dados sensíveis, resposta a incidente — exigem entendimento profundo de risco do seu negócio. Se você terceiriza isto, terceiro não conhece bem quanto risco é aceitável sua indústria. Terceirizando, você abdica de controle — alguém externo decide se que aplicação tem acesso ao quê. Verdade: consultoria de segurança ajuda, mas decisões e execução devem ser internas.

Dados de cliente: Se dados de cliente seu estão em servidor de terceiro, você é responsável legalmente — LGPD, GDPR, compliance local. Terceiro pode fazer backup ruim, deixar credenciais expostas. Dados sensíveis precisam estar sob seu controle — nuvem certificada ok, mas terceirizar acesso é arriscado.

Desenvolvimento de segurança ou compliance: Auditoria de código para vulnerabilidades, teste de segurança penetration (pentest), resposta a breach — exigem entendimento de maturidade de segurança sua empresa. Contratar pentest é ok, terceirizar programa de segurança inteira é negligência.

Contratação e retenção de TI: Seu CTO, arquiteto de dados, sysadmin senior — pessoas — não deveriam ser terceirizadas. Sim, você pode alugar expertise via consultor, mas equipe permanente é crucial. Terceirizando tudo, você fica sem alma TI — quando problema acontece, você não tem quem responda.

Matriz de decisão: terceirizar ou não?

Para cada função de TI, avaliar dois fatores: (1) Quão crítica é para operação? (2) Quão estratégica é para negócio?

Crítica E estratégica (mantém interno): Arquitetura de sistema, desenvolvimento de produto, segurança. Exemplo: SaaS cujo produto é software — desenvolvimento é núcleo do negócio, nunca terceiriza.

Crítica MAS não-estratégica (terceirizar com cuidado, com bom SLA): Backup/DR, monitoramento, email corporativo. É crítica — se cair, negócio para. Mas não é diferenciador — terceiro consegue fazer bem. Solução: SLA agressivo, penalidades por falha, conhecimento seu sobre como funciona.

Não-crítica E não-estratégica (terceirizar): Help desk, facility management (lâmpadas do datacenter), compra de hardware. MSP faz bem a custo melhor.

Não-crítica MAS estratégica (mantém interno com automation): Automação de infraestrutura, DevOps. Não é crítica no sentido de "se cair, negócio para hoje", mas é estratégica para crescimento futuro. Você quer expertise interna aqui — terceiro pode ajudar, mas decisões ficam com você.

Padrão de terceirização por porte de empresa

Pequena (até 50 pessoas): Praticamente tudo é terceirizado — MSP de infraestrutura, cloud para email/office, agência ou freelancer para web/app pequena. Equipe interna: 0-1 pessoa (CTO/gestão). Este modelo funciona bem até 100-150 pessoas, depois fica insustentável.

Média (50-500 pessoas): Padrão é híbrido — operação em MSP (help desk, infraestrutura), desenvolvimento e arquitetura interno, consultoria para especialidades (segurança, dados, transformação digital). Equipe interna: 5-20 pessoas. Custo de operação é compartilhado entre MSP (60%) e interno (40%).

Grande (500+): Infraestrutura pode ser interna (justifica investimento) ou cloud (deixa para AWS/Azure). Desenvolvimento é interno. Múltiplos fornecedores especializados por domínio. Equipe interna é 50+ pessoas. Custo é mais concentrado em interno (60%) e fornecedores especializados (40%).