Muitas vezes sou procurado por empresas que desejam implementar padrões de segurança (Itil, CobIT e algumas vezes, padrões internos) como se fossem suficiente para garantir que tudo funcione como planejado.

Em algumas situações, como as que são normatizadas (BaCen, SUSEP e outras), é exigido que o ambiente corporativo ofereça requisitos de segurança e continuidade de negócios, sem que haja especificação deste padrão. Ou seja: cada um escolhe a melhor solução, de acordo com suas necessidades ou disponibilidades.

Em outras, o recurso responsável recebe um "pacote" criado e definido para uma realidade diferente da brasileira, tendo que ajeitar e ajustar o que é exigido, para o que existe.

Mais de uma vez, recebi ligações de amigos, perguntando como fazer acontecer, já que os requisitos de negócios não consideravam as dificuldades de infraestrutura e tecnologia que enfrentamos cotidianamente aqui no Brasil.

Por outro lado, a seleção de alternativas capazes de atender os requisitos de elevada disponibilidade cobrados pela realidade norte-americana possui um custo alto no Brasil, em relação a outras soluções, capazes de garantir um ambiente de segurança confortável, sem "estourar" o orçamento da área responsável.

Links de internet de altíssima velocidade (100 Gb) hoje são oferecidos a clientes domésticos, enquanto aqui no Brasil, ainda custam uma fortuna. Isso sem falar nos próprios equipamentos (servidores e equipamentos de storage), que custam uma fração do que é praticado aqui no Brasil.

É difícil praticar implementar segurança, em um país onde temos o costume de só nos mexermos depois que o problema acontece.

Pior: em algumas situações, existem momentos em que se implementam "pacotes" ou se contratam serviços "completos" achando que é suficiente para atender aos requisitos exigidos de negócios.

Sei de uma grande organização paulista que contratou uma consultoria norte-americana, porque sua coligada estrangeira deu boas referências. O problema é que a empresa no Brasil tinha outros recursos, outros consultores e no final estava mais interessada em vender seu software de gestao de planos de continuidade do que implementar uma solução eficiente e eficaz. Trabalharam mais de quatro meses no proejto e fui chamado para ajudar a empresa a finalizar o trabalho...

Como profissional atuante em consultoria desde 99, minha sugestão é: antes de olhar para o "ótimo", tenha em alvo o "bom". A meta possível normalmente é melhor e mais fácil de alcançar que o ideal.

Depois, com a implementação do "bom", podemos investir na melhoria e na evolução em direção ao ótimo. O importante é termos uma base sólida, na qual nos sustentarmos, do que tentar construir o perfeito do nada.

*Fernando Marinho é economista, pós-graduado em segurança de dados e sistemas, com formação no DRII e BCI. Também é autor do livro "Como Proteger e Manter seus Negócios". Este artigo foi publicado originalmente no LinkedIn.