Seções iMasters
Você está aqui: Início > Gerência de TI > Profissionais de TI – terroristas ou preocupados?
Gerência de TI + Segurança

Profissionais de TI – terroristas ou preocupados?

por

A história
é comum: o coordenador de TI apresenta à direção propostas
para compra de um novo modelo de antivírus com detector de rootkits, pishings, worms; compra de um firewall que bloqueia ataques DDoS, controle
de banda, VPN; compra de servidores para o backup com fita DAT LTO de
400GB… Ou seja, um caminhão de investimento.

Obviamente, a direção
sem entender nada sobre aquelas inúmeras terminologias técnicas, olha
para o coordenador e pergunta: o que ganhamos com isso? Tentando
não perder a oportunidade, o coordenador dispara uma lista de ameaças
que muitas vezes não têm fundamento algum para convencer a direção
de que todo o investimento é necessário ou a empresa pode parar. 

São duas
as situações possíveis: uma é de não ter os investimentos aprovados
pela direção, por falta de argumentos consistentes ou, muitas vezes,
falta de entendimento do real risco ao qual a empresa está sujeita.
O outro resultado é a aprovação imediata pela direção, que dará
o caso como resolvido logo após a compra dos equipamentos, softwares,
serviços etc. Ambas situações oferecem perigo.

Em qualquer
uma das duas situações, a empresa continuará sujeita à interrupção
do negócio, pois tanto a falta de investimento em segurança como a aquisição
de tecnologias por si só não oferecem proteção contra as diversas
ameaças à segurança da informação. Então, qual argumento pode
sustentar a necessidade de investimentos, principalmente em época de crise? 

A resposta
é simples: números!

A língua oficial para discutir qualquer
assunto relacionado com investimento é o dinheiro. Não adianta levar
uma caixa de terminologias técnicas para um grupo de diretores que
tem como foco o crescimento financeiro da empresa, lidando com valores.
O que todo gestor de TI deve ter em mãos é a identificação clara
e objetiva das ameaças, o valor do investimento necessário para correção
ou diminuição dos riscos avaliados, o impacto sobre os negócios da
empresa caso essas ameaças se concretizem e, por fim, o retorno que
a empresa terá investindo em projetos de segurança da informação.  

Para isso,
é necessário um esforço inicial do departamento de TI em levantar
estas informações de forma consistente, para evitar desperdício de
dinheiro em ações que não resultarão em melhorias significativas
para elevar o nível de segurança da empresa. Em muitos casos, o apoio
de consultoria externa aumenta a confiabilidade dos resultados, pois
elimina a possibilidade de privilegiar pessoas ou departamentos durante
a identificação de falhas nos processos, inclusive do próprio departamento
de TI. 

Diante de
tantas ameaças, somente a apresentação dos riscos reais aos quais
a empresa está sujeita já é a medida necessária para chamar a atenção
dos executivos que estão à frente dos negócios, sem a necessidade
de dar um tiro.

Artigos relacionados

Business Intelligence para pequenas empresas

Gerência de TI Comente!

ERPs e o cenário de negócios no século XXI

Cloud Computing, Gerência de TI, Tendências 2 comentários

Dez soluções que atendem a vários níveis de segurança nas empresas

Segurança Comente!
Comente também

1 Comentário

Rodolfo D Avila Ramos

Realmente os diretores das empresas sempre estarão pensando se o investimento vale a pena, e normalmente esse diretor não entende nada do assunto, ficando até assustado as vezes. Por isso nós de TI devemos explicar as ameaças sem grandes fantasias.

Legal Roberto, muito bem explanado o assunto

Há 1235 dias Responder

Qual a sua opinião?