Se sempre foi difícil justificar os orçamentos de segurança das empresas, a crise acirrou o processo ainda mais, de acordo com o Gartner. Os profissionais de segurança corporativa enfrentam situação complexa: trabalham com recursos financeiros e humanos limitados para administrar e reduzir um ambiente que está em constante mudança e onde os riscos aumentam.

 

"A maioria dos gastos corporativos com TI estão passando por grande análise neste período de incertezas econômicas. A gestão de segurança e riscos de TI não é exceção, embora menos radicalmente afetada em comparação com os orçamentos gerais da área", afirma o vice-presidente de pesquisas do Gartner, Jay Heiser. "Os principais fatores para justificar e otimizar os gastos com segurança são: garantir que as práticas de controle de segurança e de riscos estejam alinhadas com os objetivos explícitos dos negócios e, crucialmente, persuadir as empresas a assumir o risco."

 

No entanto, Heiser alerta que os profissionais de segurança não estarão aptos a cumprir essas metas críticas se cometerem um destes quatro erros comuns na gestão dos riscos:

 

O mesmo nível de proteção ou o mesmo nível de gastos com segurança não pode ser eficaz e economicamente viável para todas as unidades de negócio, e menos ainda para todos os componentes de uma única unidade de negócios. Um ótimo plano de gastos com segurança leva em consideração o nível de risco avaliado para evitar um excesso de gastos ou de proteção. Os gerentes de negócios devem oferecer uma quantidade relativamente pequena de perfis de gestão de riscos que sejam projetados para atender a diferentes casos de uso em função da sensibilidade/confidencialidade e do risco dos dados.

 

Historicamente, os profissionais de segurança têm feito investimentos centrados na tecnologia e tomado decisões de implementação e distribuição com base naquilo que eles acreditam ser necessário, ao invés de pensarem no que a empresa precisa. É impossível defender os planos de segurança e os orçamentos que exigem se não forem baseados nos objetivos dos negócios. Se os gerentes de negócio não podem ou não fornecerem as informações sobre a significância dos riscos de seus processos de negócio, então os gerentes de alto nível devem entrar em ação e fazer a mediação.

 

Os profissionais de segurança devem desenvolver uma forma consistente de expressar e articular a amplitude das condições críticas de segurança de sistemas de TI específicos, dos ativos de informação e dos processos de negócio. O Gartner recomenda uma escala simples de três níveis - alto, médio e baixo - de modo a fornecer um ponto de referência comum para articular a criticidade da TI para o negócio que possa ser potencialmente utilizado por um conjunto correspondente de níveis de serviço da gestão de riscos.

 

Os gerentes de Linha de Negócios (Line of business - LOB) estão apenas desejosos demais para tirar vantagem do desejo das organizações de TI e de segurança de TI de aceitar riscos residuais, assumindo a hipótese errada de que a "oferta padrão" de TI vá controlar efetivamente quaisquer formas de risco de TI. Tal abordagem faz com que a organização de TI, ou a organização de segurança de TI, seja o bode expiatório para as falhas de segurança e para qualquer redução resultante no serviço recebido ou na flexibilidade.

 

"Estruturas de avaliação de riscos simples e passíveis de administrar, a aceitação explícita do risco residual e acordos de níveis de serviço de segurança (SLAs) tornarão possível oferecer uma segurança responsável para a empresa e poderão defender os orçamentos de segurança contra os cortes", explica Heiser. "O primeiro passo que os gerentes de riscos de TI devem dar na direção de melhor se alinharem com a empresa é não tratar os gerentes de negócio como um problema que precisa ser resolvido, mas considerá-los como clientes que precisam de segurança e de serviços de computação confiáveis."