Quanto vale a segurança?

Nos últimos 15 anos, tenho visto o tema segurança da informação no topo da lista das principais preocupações dos CIOs brasileiros. Downsizing, computação distribuída, centralizada, computação móvel, ERP, BI, nuvem, consumerização, dentre tantos outros assuntos, entraram e saíram dessa lista, mas a segurança ficou lá, firme e forte. Ao lermos este primeiro parágrafo, logo concluímos: que mercado fantástico, de constantes investimentos. Mas não é bem assim…

A preocupação com o tema realmente sempre esteve em alta, mas, infelizmente, ao compararmos com o ranking de investimentos, veremos que essa preocupação não se refletiu em ação na grande maioria das organizações. Talvez tenha se mantido no topo porque todo ano havia a necessidade, mas como pouco era feito, as ações “escorregavam” para o ano seguinte. E os motivos são muitos, e justificáveis:

  1. Nesse período, nosso país esteve com os olhos voltados para a criação da infraestrutura. Por isso, computadores (servidores e estações de trabalho), storage, redes, data center, licenciamento de software e construção/aquisição de sistemas aplicativos foram os grandes investimentos;
  2. Segurança geralmente requer alto investimento, mas o cálculo do retorno ou das economias relacionadas é, na maioria das vezes, difícil de demonstrar. Resultado: é muito complexo vender a ideia;
  3. Os resultados dos projetos implantados não foram muito bons. Mesmo as empresas que investiram muito em segurança pouco viram de resultado. Algumas, não raras, experimentaram sérios problemas, mesmo depois do projeto;
  4. Temos a cultura de correr riscos. Basta observarmos o percentual de brasileiros que possuem seguros (carro, casa, vida etc.) em relação aos países desenvolvidos. Nesse cenário, ou agimos depois do problema ou quando temos uma norma obrigatória para seguir (SOX, PCI, Banco Central etc.), ou ainda quando este fica muito evidenciado (é assim que os projetos de teste de invasão ganham força);
  5. Muitos dos nossos executivos ainda não possuem a real noção do tamanho do risco, ou por imaginarem que o dano é pequeno ou por acreditarem que a probabilidade é baixa, parte porque estão fechados para discutir o assunto, parte porque os profissionais da área não conseguem demonstrar tal risco.

Nessa realidade, cabe a nós, profissionais da área, inovar na abordagem, seja através da criação de produtos diferenciados, com uma relação de retorno mais clara, seja através de mudança no discurso, ou mesmo através da inserção da segurança em outros produtos e serviços, como valor agregado. Fazer o mesmo de antes nos levará ao mesmo resultado, invariavelmente.

Para não ficarmos apenas no problema, vamos analisar algumas linhas de ação que poderão nos ajudar a reverter o quadro atual:

  1. Precisamos de produtos e serviços inovadores, que estejam mais próximos do negócio dos clientes, com uma linguagem mais familiar aos tomadores de decisão (C-level), ou seja, que falem sobre aumento de receita, redução de custos ou clara redução de riscos;
  2. A segurança da informação precisa ser mais acessível, financeiramente falando, o que significa ter uma relação mais clara com o retorno do investimento;
  3. O discurso não pode ser igual ao do seguro: “se nada acontecer é porque a segurança está boa”. Poucas pessoas pagam por coisas para não acontecer nada. Os resultados precisam acontecer e serem demonstrados;
  4. Para os CSOs: o risco deve ser colocado sobre a mesa, de forma clara, para que os executivos tomem a decisão de corrê-lo ou não. A sua posição é estratégica, não operacional. Faça valer isso! A grande maioria dos tomadores de decisão ainda ignora os riscos, o que é inaceitável;
  5. Para os decisores: cobrem uma visão precisa dos riscos, pois o seu negócio pode desaparecer, de hoje para amanhã, se um problema importante ocorrer. Temos exemplos todos os dias.

Se nada for feito, vamos continuar com os dois cenários existentes: fornecedores lutando para que os clientes entendam o problema e transformem suas preocupações em ação e, do outro lado, clientes sofrendo enormes prejuízos, muitas vezes sem saber, para depois tomar uma atitude desesperada e desestruturada para tentar sanar o problema. Certamente, nem clientes nem fornecedores desejam esse cenário.

Fonte: iMasters por Rogério Reis

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *