Segurança: uma decisão de negócios

Talvez a razão seja que o problema de segurança é, de certa maneira, um problema anti-empresarial. Os executivos de empresas são treinados para investir dinheiro e colher resultados concretos. Com segurança, entretanto, é diferente. Os investimentos necessários não são nada desprezíveis e a expectativa é que, na melhor das hipóteses, nada aconteça. Quando um CIO mostra seu orçamento para o próximo ano contendo um projeto de segurança de alguns poucos milhões de reais, o presidente não pode evitar de pensar “afinal de contas, teria sido necessário tudo que nós gastamos o ano passado?”.

Dois problemas para o négócio. Primeiro, os executivos de negócios – incluindo o presidente e o financeiro – consideram que segurança é um problema tecnológico, não de negócios. Segundo, os cortes mais drásticos acabam sendo feitos no projeto de segurança. Como resultado, o CIO, consciente do risco que a empresa – e ele – estão correndo, vai tentar disfarçar providências de segurança sob o rótulo de necessários “upgrades” de hardware e software.

Dois problemas para TI. Primeiro, isso é geralmente bem menos que o necessário. Segundo, uma vez que ele não conseguiu envolver os executivos de negócios no assunto, nunca poderá estar seguro de ter identificado as prioridades críticas nas poucas coisas para as quais ele deu um jeito de conseguir verba.

Como qualquer especialista dirá, não há segurança a prova de tudo. Existem somente altos níveis de segurança que devem ser aplicados a ambientes de alto risco. E esses níveis variam para cada empresa e processo de negócio.

Um exemplo. Risco, visto a partir de uma perspectiva de negócios, é consequência negativa de um evento multiplicado pela probabilidade da sua ocorrência. Considere um aplicação de contas a receber, rodando em um ASP (provedor de serviços de aplicação) para duas empresas: uma siderúrgica e uma cadeia de lojas de varejo. Se a informação daquela aplicação for destruída, o risco é mais alto para a rede de lojas. Apesar de que as cifras serão muito mais altas para a siderúrgica, a consequência negativa para a cadeia de lojas é pior, pois as perdas prováveis serão maiores (difícil dar um calote numa siderúrgica), e a recuperação exigirá deles muito mais tempo e esforço. Considere agora o mesmo ASP rodando a mesma aplicação para uma loja local e uma loja remota. Apesar de a consequência negativa ser comparável, a probabilidade de cair a conexão remota é maior. Assim se avaliam os riscos e assim se tomam decisões sobre o nível adequado de segurança para cada processo.

Se o CIO tivesse perguntado a seu desavisado presidente qual o nível de segurança que ele desejaria para suas operações, a resposta óbvia seria “segurança total”. Resposta errada. Custo infinito. Entretanto, depois de ter falhado na aprovação do projeto de segurança no ano anterior, ele resolveu educar o pessoal de negócios da empresa a respeito de uma perspectiva de negócios sobre segurança. Isso pode ser feito através de um seminário de análise de cenários. Nesse seminário, envolvendo as pessoas chave de cada processo de negócio, o processo é analisado em termos de eventos possíveis, sua consequência negativa e a probabilidade deles ocorrerem. O padrão básico é imaginar possíveis falhas e fazer a pergunta “e se essa falha ocorresse”?

Como resultado, cada dono de processo de negócio pode avaliar os riscos no seu processo – e o presidente pode formar uma perspectiva razoavelmente boa de qual o nível de segurança que ele quer. E a empresa consegue agora entender razoavelmente o toma-lá-dá-cá da história e a decisão que eles têm que tomar: qual é o nível de investimento que eles precisam fazer, para o nível de risco que eles estão dispostos a aceitar. Essa sim, é uma decisão de negócios.