Mente Hacker

Investir em tecnologias modernas e baratas é bom, mas traz riscos

Publicada em 02/08/2010 14:44

Por Denny Roger

Apesar do assunto segurança da informação nunca ter deixado de fazer parte das principais preocupações dos executivos, os processos sobre o tema não estão estabilizados nas organizações.

O que podemos perceber, na prática, é que as organizações estão investindo constantemente em novas tecnologias de segurança da informação. Mas as equipes de TI, responsáveis pelo suporte técnico, não conseguem adaptar as políticas e normas internas de segurança da informação às novas tecnologias.

O fato ocorre porque a decisão de compra foi baseada nas funcionalidades da tecnologia. Mas o correto é identificar que tecnologia atende às metodologias de segurança da informação implementadas na organização. Por exemplo, antes de comprar um software para prevenção de perda de dados, mais conhecido como DLP, a organização deve ter uma metodologia para classificação da informação. Inclusive a metodologia já deve ter sido implementada. É importante observarmos que a implementação de qualquer metodologia demora para se estabilizar.

Neste cenário, muitas empresas que investiram dinheiro em soluções de DLP perceberam que a tecnologia está subutilizada e que também é administrada através de iniciativas isoladas. Ou seja, sem uma metodologia, cada profissional de TI faz o que quer com a ferramenta. O dono da empresa vê, literalmente, seu dinheiro ir pelo ralo.

Troca de tecnologia
Outra situação preocupante para o dono da organização é quando a equipe de TI solicita, novamente, recursos financeiros para a troca de tecnologia. Por exemplo, durante uma reunião com o gestor de segurança da informação de uma instituição, ele comentou que no ano passado foi adquirido um sistema de anti-spam. Após algumas tentativas de uso, decidiram trocar o recurso.

A questão é: como explicar, ou melhor, como justificar para o presidente da organização que o dinheiro usado no ano passado não serviu para nada? Como conseguir, novamente, dinheiro para comprar a mesma solução? É claro que o executivo não irá liberar o dinheiro para a compra de um novo sistema de anti-spam. Primeiro, os executivos não precisam e nem querem saber o que é e para que serve essas tecnologias, sejam elas quais forem. Segundo, a empresa existe para dar dinheiro ao seu dono ou acionistas. Ninguém quer empatar dinheiro em um determinado tipo de tecnologia.

O “carro” errado
Fazendo uma analogia com os automóveis, vamos imaginar a seguinte situação: uma determinada família é composta por oito pessoas. Foi designado que uma determinada pessoa da família compre um carro para que todos possam viajar. Essa pessoa vai até a loja de carros e o vendedor, todo simpático, apresenta com muito entusiasmo todos os recursos e encantos de um determinado veículo. A pessoa faz um teste, fica impressionada com o que viu e “apaixona-se” pelo novo estilo e funcionalidades do carro. Toma uma decisão totalmente emocional e compra o veículo.

Chegando em casa, feliz da vida, apresenta o carro e repete exatamente as mesmas palavras que ouviu do vendedor. Todos ficam impressionados com o carro e resolvem dar uma volta. Porém, surge um problema: como colocar as 8 pessoas da família no veículo? Tentam por diversas vezes e resolvem que a melhor solução é comprar outro arro. Está acontecendo exatamente a mesma coisa com as tecnologias de segurança da informação.

A maioria dos investimentos é realizada de acordo com as funcionalidades da tecnologia – decisão totalmente emocional. As empresas esqueceram que antes precisam determinar que metodologia irão usar. Depois devem treinar os colaboradores para o trabalho com a nova metodologia e só então passar para a fase de implementação. Após algum tempo, a metodologia é atualizada e começa a estabilizar. O próximo passo é identificar uma tecnologia que irá informatizar/automatizar partes da metodologia.

Investimento perdido
Diversos empresários comentaram comigo, no final do primeiro trimestre de 2010, que um dos principais impactos no demonstrativo de resultados – estamos falando da contabilidade – foram os péssimos investimentos em tecnologias de segurança da informação. Em outras palavras, compraram o veículo errado. Um dos “automóveis” que não atenderam às necessidades de negócio foram as tecnologias para Análise de Risco. Algumas organizações compraram às pressas, pois precisam atender aos requisitos de Governança Corporativa, e não conseguiram fazer uso deste tipo de tecnologia. Mas por quê?

A questão é simples: qual é a metodologia a organização irá usar para gestão de riscos? Existem diversas metodologias sobre o assunto. Qual delas está alinhada aos negócios da empresa? Será que precisamos adaptar a metodologia ao dia-a-dia da companhia? Quem será responsável pelo processo?

Nem sempre o investimento em tecnologias mais modernas e de menor custo irá contribuir no dia-a-dia da sua organização. Pense bem antes de comprar seu próximo “carro”.