Como reduzir custos operacionais sem abrir mão da segurança na empresa

16|03|2012

Ao apresentar um estudo sobre investimentos na indústria em 2011, a Confederação Nacional da Indústria mostrou que, para 2012, as expectativas dos investidores são menores, voltadas para frear investimentos. Deste modo, torna-se crucial aplicar com eficácia os recursos disponíveis aos serviços de proteção da informação, de propriedade ou sob a guarda da empresa.

Neste cenário, o corte no orçamento da segurança da informação (SI) é algo que pode vagar na mente dos executivos. Pois, mesmo com a eminente necessidade da SI corporativa, esta nem sempre é vista da forma adequada pela alta administração. Em 2011, uma pesquisa da PwC descobriu que, após demonstrarem avanços sólidos nos últimos anos, algumas empresas estão permitindo que suas capacidades em segurança piorem. Pode ser um contrassenso. Com a dependência do negócio aos sistemas de informação e o surgimento de nova tecnologia e formas de trabalho, como m-commerce, redes sociais, computação em nuvem, tablets, customerização e colaboradores móveis ou em home office, a empresa precisa estimar adequadamente sua necessidade de segurança, pois se torna vulnerável a um maior número de ameaças.

Consequentemente, o desafio da área de TI passa a ser mostrar à alta administração a exata necessidade de investimentos em SI e quais benefícios / ROI estes podem oferecer. A resposta pode estar na gestão de risco. Deste modo, para priorização dos investimentos de segurança, é essencial que a empresa estabeleça com nitidez o nível de risco desejado. Neste contexto, a gestão de risco permite às corporações identificar as medidas de proteção necessárias a diminuir os riscos de seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos. Uma análise de riscos e vulnerabilidades permite, além da detecção de falhas, a aplicação de controles objetivos em pontos críticos. Assim, é possível estimar perdas e consequências da falta de controles adequados. Portanto, saber identificar os riscos e gerenciá-lo é uma arte que fará diferença entre os projetos técnica e financeiramente bem e malsucedidos.

A visão do risco como parte do negócio obriga à preocupação quanto a eventos que possam colocar em perigo o ambiente corporativo – incluindo resultados, pessoas, processos e informações. O objetivo da área de SI é ensinar a empresa a lidar e conviver com o risco, e não eliminá-lo por completo, algo dispendioso ou impossível. Com expectativa de menor investimento em 2012, a equipe interna pode se sentir impotente para operar todos os serviços de segurança demandados pela empresa, pois o crescente número de ameaças a obriga a dispor de tecnologia de proteção cada vez mais complexa e onerosa – além de especialistas em SI, cada vez mais raros e valorizados no mercado.

Embora muitas empresas optem por internalizar todos os seus serviços de SI, pode ser indispensável uma mudança de paradigma a fim de reduzirem seus custos operacionais. Afinal, é possível alcançar ROI sem abrir mão da SI. Depois de uma adequada análise de risco, um caminho pode ser contratar serviços gerenciados de segurança (Managed Security Services – MSS). Ao delegar os aspectos operacionais a um provedor de MSS (MSS Provider – MSSP), além da significativa redução nos custos, a equipe interna pode se concentrar em aspectos mais estratégicos da SI, alinhando-a ao negócio da empresa. Através dos relatórios concisos, organizados e objetivos providos por um MSSP – que costuma dispor de infraestrutura robusta e redundante, tecnologia de ponta, profissionais capacitados, denso conhecimento em SI e processos em conformidade com boas práticas de mercado –, os CIO e CSO têm a possibilidade de apresentar as necessidades de segurança à alta administração de forma clara e convincente.

Finalmente, o desejo da alta administração é ter confiança na área de TI, em muitos casos desacreditada e pouco valorizada. Essa confiança deve ser transmitida naturalmente, com controles adequados e bem estruturados. A fim de se alcançar esta meta, em um cenário de redução de custos operacionais em SI, o inicio da jornada pode começar com uma análise de riscos, na caminhada em busca da implantação de controles específicos e precisos, culminando na contratação de um MSSP.

Paulo Sergio Pagliusi é Gerente de Produtos e Processos na Arcon Serviços Gerenciados de Segurança

Facebook
Twitter
LinkedIn