Os orçamentos de segurança das empresas sempre foram difíceis de se justificar, e a crise econômica mundial está fazendo com que esse processo se torne ainda mais difícil, de acordo com estudo do Gartner. De acordo com a consultoria, os profissionais de segurança corporativa enfrentam uma situação complexa, pois trabalham com recursos financeiros e humanos muito limitados para administrar e reduzir um ambiente que está em constante mudança e no qual os riscos aumentam.
"A maioria dos gastos corporativos com TI está passando inevitavelmente por uma grande análise durante este período de incertezas econômicas, e a gestão de segurança e riscos de TI – embora menos radicalmente afetada em comparação com os orçamentos gerais de TI – não é exceção", afirma o vice-presidente de pesquisas do Gartner, Jay Heiser. "Os principais fatores para justificar e otimizar os gastos com segurança são: garantir que as práticas de controle de segurança e de riscos estejam alinhadas com os objetivos explícitos dos negócios e, crucialmente, persuadir as empresas a assumir o risco".
O analista alerta, no entanto, que os profissionais de segurança não estarão aptos a cumprir essas metas críticas se cometerem um destes quatro erros comuns na gestão dos riscos:
1) Assumir uma abordagem do tipo "one size fits all" (adotar uma solução padrão para todos) para a gestão da segurança e dos riscos. O mesmo nível de proteção ou o mesmo nível de gastos com segurança não pode ser eficaz e economicamente viável para todas as unidades de negócio, e menos ainda para todos os componentes de uma única unidade de negócios. Um ótimo plano de gastos com segurança leva em consideração o nível de risco avaliado para evitar um excesso de gastos ou de proteção. Os gerentes de negócios devem oferecer uma quantidade relativamente pequena de perfis de gestão de riscos que sejam projetados para atender a diferentes casos de uso em função da sensibilidade/confidencialidade e do risco dos dados.
2) Fazer planos com base naquilo que a organização de segurança quer, e não no que a empresa precisa. Historicamente, os profissionais de segurança têm feito investimentos centrados na tecnologia e tomado decisões de implementação e distribuição com base naquilo que eles acreditam ser necessário, em vez de pensarem no que a empresa precisa. É impossível defender os planos de segurança e os orçamentos que exigem se não forem baseados nos objetivos dos negócios. Se os gerentes de negócio não podem ou não fornecerem as informações sobre a significância dos riscos de seus processos de negócio, então os gerentes de alto nível devem entrar em ação e fazer a mediação.
3) Fazer com que as comunicações relativas aos riscos sejam complexas demais para que a empresa compreenda. Os profissionais de segurança devem desenvolver uma forma consistente de expressar e articular a amplitude das condições críticas de segurança de sistemas de TI específicos, dos ativos de informação e dos processos de negócio. O Gartner recomenda uma escala simples de três níveis – alto, médio e baixo – de modo a fornecer um ponto de referência comum para articular a criticidade da TI para o negócio que possa ser potencialmente utilizado por um conjunto correspondente de níveis de serviço da gestão de riscos.
4) Permitir que os gerentes de linha dos negócios transfiram seus riscos para a organização de TI e para a organização de segurança de TI. Os gerentes de linha de negócios estão desejosos demais para tirar vantagem da vontade das organizações de TI e de segurança de TI de aceitar riscos residuais, assumindo a hipótese errada de que a "oferta padrão" de TI vá controlar efetivamente quaisquer formas de risco de TI. Tal abordagem faz com que a organização de TI, ou a organização de segurança de TI, seja o bode expiatório para as falhas de segurança e para qualquer redução resultante no serviço recebido ou na flexibilidade.
"Estruturas de avaliação de riscos simples e passíveis de administrar, a aceitação explícita do risco residual e acordos de níveis de serviço de segurança (SLAs) tornarão possível oferecer uma segurança responsável para a empresa e poderão defender os orçamentos de segurança contra os cortes", explica Heiser. "O primeiro passo que os gerentes de riscos de TI devem dar na direção de melhor se alinharem com a empresa é não tratar os gerentes de negócio como um problema que precisa ser resolvido, mas considerá-los como clientes que precisam de segurança e de serviços de computação confiáveis".
- Gestão de riscos
