A PROOF acredita em uma abordagem 360º da segurança da informação, que passa por uma análise detalhada do ambiente, das necessidades do negócio e até do comportamento do usuário para determinar quais são as melhores soluções e a melhor estratégia de segurança para a organização.

Porém, ainda é comum encontrarmos empresas que deixam a segurança em segundo plano. Expressões como “Não tenho tempo ou recursos suficientes para avaliar e melhorar meu programa de segurança estrategicamente”, “Vou escolher a opção mais barata” ou até “Não precisamos de uma solução tão completa assim, podemos pegar uma que tenha 80% dos recursos dessa outra” são muito ouvidas durante as reuniões para tratar da segurança da informação.

Essa abordagem pode até parecer mais vantajosa financeiramente, mas pode ter um preço bem mais alto depois. É preciso desenvolver uma abordagem estratégica e analítica, focada mais na inteligência do que na prevenção, para garantir a proteção dos ativos e facilitar a resposta aos incidentes. Veja algumas das consequências de deixar a segurança da informação em segundo plano:

Falta de tempo para estratégia

Encontrar tempo para avaliar criticamente e estrategicamente seu programa de segurança da informação pode ser uma tarefa difícil já que o dia parece ser ocupado por atividades operacionais mais urgentes. No entanto, muitas empresas gastam tempo demais em atividades repetitivas que não agregam em nada. Isso se torna um círculo vicioso, pois as empresas acabam nunca tendo tempo de examinar o que está ocupando o tempo, pois estão ocupadas demais para isso.

A curto-prazo pode parecer ruim dedicar parte do tempo para tarefas de inteligência, mas a longo-prazo, isso vai garantir uma abordagem mais estratégica e analítica que permitirá um melhor uso dos mesmos recursos e a otimização da postura relacionada à segurança de maneira rápida e eficiente.

Preocupação com custos

Muitas empresas ainda pensam na segurança da informação como custo, não como investimento. Naturalmente, como acontece com todo custo, a maior intenção é reduzi-lo e, ao fazer isso, as empresas optam por soluções mais baratas.

O ideal é que as empresas pensem na segurança da informação como um investimento e desenvolvam uma estratégia que amplie seu ROI. Isso é mais complexo que simplesmente somar os gastos de implantação e manutenção de soluções, pois envolve calcular também o benefício trazido pelas soluções de segurança.

Quando uma empresa investe em segurança da informação, ganha em eficiência operacional, diminui esforços em mitigação e tem um ambiente mais controlado. Toda vez que um ataque é bloqueado por um ativo de segurança, isso gera retorno de investimento.

Soluções “pela metade”

Você aceitaria ficar oito horas do seu dia sem eletricidade? E quatro horas bebendo água de procedência duvidosa?

Pode ser difícil, mas, quando se trata de mitigar riscos, é preciso ter a solução certa e não a solução “meio certa” que é “boa o bastante”. Sempre haverá limitações, mas é importante começar sempre do 100%.

Quando temos um risco para mitigar, devemos quebrá-lo em objetivos e prioridades. Então, é preciso definir as pessoas e os processos corretos e a tecnologia necessária para cobrir esses objetivos e prioridades para mitigar o risco de maneira apropriada.

É claro que pode haver desafios e frustrações, mas isso não significa que o melhor a fazer é começar com uma solução que não atenda aos objetivos desde o começo.

As dificuldades trazidas pela crise econômica não podem fazer com que a segurança da informação sofra. Leia o whitepaper Como reduzir custos e ameaças em 2016 e saiba mais sobre como proteger seus ativos.

Com Security Week