Por que é tão difícil vender projetos de segurança da informação, mesmo provando ao cliente que se trata de um investimento e não de um custo adicional?

Identificar e analisar as diversas situações de risco a que o cliente está exposto e propor soluções adequadas é uma tarefa complexa, que exige dos profissionais de segurança da informação muita dedicação, controle e postura diante de situações de pressão e, ainda, conhecimento em várias áreas além da TI. Isso requer das empresas de consultoria um grande investimento para manter sua equipe capacitada por meio de constantes treinamentos e dinamismo para preservar os melhores profissionais dentro do quadro de funcionários, diante da grande quantidade de oportunidades que permeia o mercado.

Mas obviamente, para o cliente, isso não importa, pois ele também, dentro do escopo de seu negócio, deve passar por situações semelhantes. Portanto, devemos justificar com outros argumentos os valores apresentados para a prestação desse tipo de serviço de consultoria, de forma que o cliente reconheça a importância do trabalho para a sua organização.

Posso dizer que praticamente 100% dos nossos clientes que demonstraram interesse em um trabalho que contemplasse uma avaliação dos riscos a que suas empresas estavam expostas tiveram algum incidente grave de segurança que os levaram a buscar uma resposta imediata para resolver seus problemas, não apenas para o seu ambiente de TI, mas ao seu negócio como um todo, para que não ocorressem mais interrupções imprevistas, afetando a continuidade de suas operações.

O interessante é que, nesses clientes, havia uma boa estrutura do ambiente de TI, com profissionais dedicados, servidores e estações de trabalho com antivírus e monitoramento de acesso à internet e e-mails, firewall, backups atualizados, mas tudo isso não impediu que as empresas tivessem interrupções de suas atividades e grandes prejuízos financeiros. Obviamente não era por falta de proteção periférica, pois, em alguns casos, houve grande investimento financeiro em ferramentas, mas sim por falta de uma gestão dos recursos tecnológicos, das pessoas e dos processos que envolviam todas as operações críticas das empresas. Por trás daqueles servidores bem organizados em seus racks, daquela equipe de técnicos de TI dedicados e da aparência de normalidade nos escritórios das empresas, havia uma colcha de retalhos sustentando toda essa estrutura.

De nada adianta todo o investimento em tecnologia se não houver um preparo adequado para utilizar esses recursos, que incluem definições das regras para o uso dos recursos de processamento da informação e da própria informação, procedimentos detalhados das operações, identificação dos responsáveis por cada ativo da empresa, treinamentos e trabalhos de conscientização para garantir o entendimento e o apoio da parte mais vulnerável em qualquer empresa – as pessoas.

Em muitos casos, após um levantamento dos principais riscos que possam comprometer a continuidade dos negócios de uma empresa, constatamos que todo aquele investimento em tecnologia poderia ter sido melhor distribuído ou até evitado, pois quando falamos em proteção, naturalmente somos levados a pensar em adquirir ferramentas como antivirus ou firewalls, mas nunca em treinar pessoas ou documentar processos.

É nesse ponto que o papel de uma consultoria especializada pode ser relevante. Com a devida avaliação, pode-se identificar os pontos mais críticos para os negócios da empresa e direcionar a alta administração na decisão de como distribuir os recursos financeiros disponíveis de maneira equilibrada, para elevar o nível de segurança de maneira uniforme, alinhado as perspectivas de crescimento da empresa.

É notória a dificuldade de ter um projeto de segurança da informação com apoio de terceiros aprovado pela direção, diante de tantos incidentes e investimentos mal planejados, muitas vezes por ter em foco apenas o departamento de TI. Cabe ao gestor de TI convencer a alta administração de sua empresa de que o perigo está em toda a organização, dividido em todos os departamentos, cada um com seu grau de relevância, podendo atingir diferentes níveis de impacto aos negócios, quando não tratado adequadamente.