A história é comum: o coordenador de TI apresenta à direção propostas para compra de um novo modelo de antivírus com detector de rootkits, pishings, worms; compra de um firewall que bloqueia ataques DDoS, controle de banda, VPN; compra de servidores para o backup com fita DAT LTO de 400GB… Ou seja, um caminhão de investimento.
Obviamente, a direção sem entender nada sobre aquelas inúmeras terminologias técnicas, olha para o coordenador e pergunta: o que ganhamos com isso? Tentando não perder a oportunidade, o coordenador dispara uma lista de ameaças que muitas vezes não têm fundamento algum para convencer a direção de que todo o investimento é necessário ou a empresa pode parar.
São duas as situações possíveis: uma é de não ter os investimentos aprovados pela direção, por falta de argumentos consistentes ou, muitas vezes, falta de entendimento do real risco ao qual a empresa está sujeita. O outro resultado é a aprovação imediata pela direção, que dará o caso como resolvido logo após a compra dos equipamentos, softwares, serviços etc. Ambas situações oferecem perigo.
Em qualquer uma das duas situações, a empresa continuará sujeita à interrupção do negócio, pois tanto a falta de investimento em segurança como a aquisição de tecnologias por si só não oferecem proteção contra as diversas ameaças à segurança da informação. Então, qual argumento pode sustentar a necessidade de investimentos, principalmente em época de crise?
A resposta é simples: números!
A língua oficial para discutir qualquer assunto relacionado com investimento é o dinheiro. Não adianta levar uma caixa de terminologias técnicas para um grupo de diretores que tem como foco o crescimento financeiro da empresa, lidando com valores. O que todo gestor de TI deve ter em mãos é a identificação clara e objetiva das ameaças, o valor do investimento necessário para correção ou diminuição dos riscos avaliados, o impacto sobre os negócios da empresa caso essas ameaças se concretizem e, por fim, o retorno que a empresa terá investindo em projetos de segurança da informação.
Para isso, é necessário um esforço inicial do departamento de TI em levantar estas informações de forma consistente, para evitar desperdício de dinheiro em ações que não resultarão em melhorias significativas para elevar o nível de segurança da empresa. Em muitos casos, o apoio de consultoria externa aumenta a confiabilidade dos resultados, pois elimina a possibilidade de privilegiar pessoas ou departamentos durante a identificação de falhas nos processos, inclusive do próprio departamento de TI.
Diante de tantas ameaças, somente a apresentação dos riscos reais aos quais a empresa está sujeita já é a medida necessária para chamar a atenção dos executivos que estão à frente dos negócios, sem a necessidade de dar um tiro.
Roberto Henrique
roberto@abctec.com.br
Este artigo também está publicado em iMasters
