O “terrorismo” usado por alguns profissionais de TI é sua única ferramenta à disposição para ter os investimentos em segurança aprovados pela direção da empresa.
A história é comum: O coordenador de TI apresenta à direção propostas para compra de um novo modelo de antivírus com detector de rootkits, pishings, worms; compra de um firewall que bloqueia ataques DDoS, controle de banda, VPN; compra de servidores para o backup com fita DAT LTO de 400GB..., ou seja, um caminhão de investimento. Obviamente, a direção sem entender nada sobre aquelas inúmeras terminologias técnicas, olha para o coordenador e pergunta: O que ganhamos com isso?
Tentando não perder a oportunidade, o coordenador dispara uma lista de ameaças que muitas vezes não têm fundamento algum para convencer a direção de que todo o investimento é necessário senão a empresa pode parar.
São duas as situações possíveis: Uma é de não ter os investimentos aprovados pela direção, por falta de argumentos consistentes ou muitas vezes falta de entendimento do real risco ao qual a empresa está sujeita. O outro resultado é a aprovação imediata pela direção, que dará o caso como resolvido logo após a compra dos equipamentos, softwares, serviços, etc. Eis o perigo em ambas as situações.
Em qualquer uma das duas situações, a empresa continuará sujeita à interrupção do negócio, pois tanto a falta de investimento em segurança como aquisição de tecnologias por si só não oferecem proteção contra as diversas ameaças a segurança da informação. Então qual argumento que pode sustentar a necessidade investimentos, principalmente em época de crise?
A resposta é simples: números! A língua oficial para discutir qualquer assunto relacionado com investimento é o dinheiro. Não adianta levar uma caixa de terminologias técnicas para um grupo de diretores que tem como foco o crescimento financeiro da empresa, lidando com valores. O que todo gestor de TI deve ter em mãos é a identificação clara e objetiva das ameaças; O valor do investimento necessário para correção ou diminuição dos riscos avaliados; O impacto sobre os negócios da empresa caso essas ameaças se concretizem e por fim, o retorno que a empresa terá investindo em projetos de segurança da informação.
Para isso, é necessário um esforço inicial do departamento de TI em levantar estas informações de forma consistente, para evitar desperdício de dinheiro em ações que não resultarão em melhorias significativas para elevar o nível de segurança da empresa. Em muitos casos, o apoio de consultoria externa aumenta a confiabilidade dos resultados, pois elimina a possibilidade de privilegiar pessoas ou departamentos durante a identificação de falhas nos processos, inclusive do próprio departamento de TI.
Diante de tantas ameaças, somente a apresentação dos riscos reais dos quais a empresa está sujeita já é a medida necessária para chamar a atenção dos executivos que estão à frente dos negócios, sem a necessidade de dar um tiro.
* Roberto Henrique Sousa é consultor da ABCTec.
A história é comum: O coordenador de TI apresenta à direção propostas para compra de um novo modelo de antivírus com detector de rootkits, pishings, worms; compra de um firewall que bloqueia ataques DDoS, controle de banda, VPN; compra de servidores para o backup com fita DAT LTO de 400GB..., ou seja, um caminhão de investimento. Obviamente, a direção sem entender nada sobre aquelas inúmeras terminologias técnicas, olha para o coordenador e pergunta: O que ganhamos com isso?
Tentando não perder a oportunidade, o coordenador dispara uma lista de ameaças que muitas vezes não têm fundamento algum para convencer a direção de que todo o investimento é necessário senão a empresa pode parar.
São duas as situações possíveis: Uma é de não ter os investimentos aprovados pela direção, por falta de argumentos consistentes ou muitas vezes falta de entendimento do real risco ao qual a empresa está sujeita. O outro resultado é a aprovação imediata pela direção, que dará o caso como resolvido logo após a compra dos equipamentos, softwares, serviços, etc. Eis o perigo em ambas as situações.
Em qualquer uma das duas situações, a empresa continuará sujeita à interrupção do negócio, pois tanto a falta de investimento em segurança como aquisição de tecnologias por si só não oferecem proteção contra as diversas ameaças a segurança da informação. Então qual argumento que pode sustentar a necessidade investimentos, principalmente em época de crise?
A resposta é simples: números! A língua oficial para discutir qualquer assunto relacionado com investimento é o dinheiro. Não adianta levar uma caixa de terminologias técnicas para um grupo de diretores que tem como foco o crescimento financeiro da empresa, lidando com valores. O que todo gestor de TI deve ter em mãos é a identificação clara e objetiva das ameaças; O valor do investimento necessário para correção ou diminuição dos riscos avaliados; O impacto sobre os negócios da empresa caso essas ameaças se concretizem e por fim, o retorno que a empresa terá investindo em projetos de segurança da informação.
Para isso, é necessário um esforço inicial do departamento de TI em levantar estas informações de forma consistente, para evitar desperdício de dinheiro em ações que não resultarão em melhorias significativas para elevar o nível de segurança da empresa. Em muitos casos, o apoio de consultoria externa aumenta a confiabilidade dos resultados, pois elimina a possibilidade de privilegiar pessoas ou departamentos durante a identificação de falhas nos processos, inclusive do próprio departamento de TI.
Diante de tantas ameaças, somente a apresentação dos riscos reais dos quais a empresa está sujeita já é a medida necessária para chamar a atenção dos executivos que estão à frente dos negócios, sem a necessidade de dar um tiro.
* Roberto Henrique Sousa é consultor da ABCTec.