Segurança de TI é um exercício de balanceamento
Como aplicar de forma os recursos destinados à segurança de TI buscando manter a proporção em relação ao gasto total e o nível de segurança?
Quando diminuem os recursos empregados em segurança o risco aumenta e a probabilidade de se gastar mais que do que foi economizado em ações de remediação e reparo aumenta junto.
Por isso, quando o orçamento de TI diminui o de segurança normalmente não diminui na mesma proporção colocando um holofote sobre os responsáveis. Está aí o desafio: como aplicar de forma mais eficiente os recursos destinados à segurança de TI buscando manter a proporção em relação ao gasto total e o nível de segurança, ao mesmo tempo?
Não existe solução fácil e imediata para o problema e a abordagem pode variar de acordo com a indústria, localização e cultura organizacional. Porém, todas passam por uma gestão da segurança mais eficiente e planejada, fugindo da tentativa de desaparecer com os problemas apenas adquirindo as conhecidas “fórmulas mágicas” que proliferam toda vez que surge um novo tipo de ameaça.
As duras consequências
Mas, afinal, quais são custos de não investir adequadamente em segurança? Eles podem variar de acordo com o tamanho da empresa e o segmento de mercado na qual ela está inserida, mas os principais são:
Perda temporária ou permanente de informações – Sejam elas referentes à propriedade intelectual da empresa ou dados de clientes.
Interrupção de serviços regulares (lucro cessante) – Uma simples interrupção de um sistema de e-commerce, por exemplo, pode acarretar em prejuízos impensáveis.
Perdas financeiras associadas à restauração do sistema, custos legais e de TI – Multas regulatórias, serviços especializados para correção, dentre outros. A lista pode ser bem extensa, assim como a conta para pagar.
Danos à reputação da empresa – Intangível num primeiro momento, a perda de confiança dos clientes é uma das consequências que mais demandam tempo e esforço para serem dirimidas.
Os responsáveis
Consequências como essas não acontecem apenas em gigantes como Target e Sony e devem ser consideradas dentro dos pontos críticos de um planejamento corporativo.
Embora exista, de fato, uma visão macro sobre o cibercrime, ainda fica muito aquém do necessário. Na maioria dos casos, a percepção é de que segurança, sendo um problema que envolve tecnologia, será resolvido pela equipe de TI e que nada de grave irá acontecer se houver a aquisição da mesma.
O problema é que as “ameaças digitais” englobam uma infinidade de tipos, de naturezas completamente diferentes entre si e que, além de numerosas, estão constantemente mudando e antecipando-se às novas tecnologias de proteção. Por isso, é preciso que a área de negócios compartilhe tal responsabilidade com a equipe de TI e pense além das usuais receitas, pois elas não funcionam mais.
*Luciano Moizio é Diretor de Serviços da Arcon