27.02.10

Profissionais de TI – “Terrorismo Inconveniente”?

Fonte: Roberto Henrique

O “terrorismo” usado por alguns profissionais de TI é sua única ferramenta à disposição para ter os investimentos em segurança aprovados pela direção da empresa.

A história é comum: O coordenador de TI apresenta à direção propostas para compra de um novo modelo de antivírus com detector de rootkits, pishings, worms; compra de um firewall que bloqueia ataques DDoS, controle de banda, VPN; compra de servidores para o backup com fita DAT LTO de 400GB..., ou seja, um caminhão de investimento. Obviamente, a direção sem entender nada sobre aquelas inúmeras terminologias técnicas, olha para o coordenador e pergunta: O que ganhamos com isso?


Tentando não perder a oportunidade, o coordenador dispara uma lista de ameaças que muitas vezes não têm fundamento algum para convencer a direção de que todo o investimento é necessário senão a empresa pode parar.
São duas as situações possíveis: Uma é de não ter os investimentos aprovados pela direção, por falta de argumentos consistentes ou muitas vezes falta de entendimento do real risco ao qual a empresa está sujeita. O outro resultado é a aprovação imediata pela direção, que dará o caso como resolvido logo após a compra dos equipamentos, softwares, serviços, etc. Eis o perigo em ambas as situações.


Em qualquer uma das duas situações, a empresa continuará sujeita à interrupção do negócio, pois tanto a falta de investimento em segurança como aquisição de tecnologias por si só não oferecem proteção contra as diversas ameaças a segurança da informação. Então qual argumento que pode sustentar a necessidade investimentos, principalmente em época de crise?


A resposta é simples: números! A língua oficial para discutir qualquer assunto relacionado com investimento é o dinheiro. Não adianta levar uma caixa de terminologias técnicas para um grupo de diretores que tem como foco o crescimento financeiro da empresa, lidando com valores. O que todo gestor de TI deve ter em mãos é a identificação clara e objetiva das ameaças; O valor do investimento necessário para correção ou diminuição dos riscos avaliados; O impacto sobre os negócios da empresa caso essas ameaças se concretizem e por fim, o retorno que a empresa terá investindo em projetos de segurança da informação.


Para isso, é necessário um esforço inicial do departamento de TI em levantar estas informações de forma consistente, para evitar desperdício de dinheiro em ações que não resultarão em melhorias significativas para elevar o nível de segurança da empresa. Em muitos casos, o apoio de consultoria externa aumenta a confiabilidade dos resultados, pois elimina a possibilidade de privilegiar pessoas ou departamentos durante a identificação de falhas nos processos, inclusive do próprio departamento de TI.


Diante de tantas ameaças, somente a apresentação dos riscos reais dos quais a empresa está sujeita já é a medida necessária para chamar a atenção dos executivos que estão à frente dos negócios, sem a necessidade de dar um tiro.

 

Roberto Henrique é consultor da ABCTec, especializado em análise de vulnerabilidades e  no tratamento de incidentes de segurança da informação. Possui as certificações Microsoft MCP/MCDST, F-Secure Certified Sales Professional e Intel Segurança da Informação e Governança em TI.



Home  |  Contato
Parcerias International: All-About-Security | KoSiB eG | Forum Security | Network Computing | NGG e.V. | OGuedes | Steinbeis

© Fórum de Segurança o Brasil 2017