Gartner aponta quatro erros na gestão de riscos que podem ameaçar o orçamento de segurança

Os orçamentos de segurança das empresas sempre foram difíceis de se justificar, e a crise econômica global está fazendo com que esse processo se torne ainda mais difícil, de acordo com o Gartner, líder mundial em pesquisa e aconselhamento sobre tecnologia. Os profissionais de segurança corporativa enfrentam uma situação complexa, pois trabalham com recursos financeiros e humanos muito limitados para administrar e reduzir um ambiente que está em constante mudança e onde os riscos aumentam.

"A maioria dos gastos corporativos com TI estão passando inevitavelmente por uma grande análise durante este período de incertezas econômicas, e a gestão de segurança e riscos de TI - embora menos radicalmente afetada em comparação com os orçamentos gerais de TI - não é exceção", afirma o vice-presidente de pesquisas do Gartner, Jay Heiser. "Os principais fatores para justificar e otimizar os gastos com segurança são: garantir que as práticas de controle de segurança e de riscos estejam alinhadas com os objetivos explícitos dos negócios e, crucialmente, persuadir as empresas a assumir o risco".

No entanto, Heiser alerta que os profissionais de segurança não estarão aptos a cumprir essas metas críticas se cometerem um destes quatro erros comuns na gestão dos riscos: 1) Assumir uma abordagem do tipo "One Size Fits All" (adotar uma solução padrão para todos) para a gestão da segurança e dos riscos - O mesmo nível de proteção ou o mesmo nível de gastos com segurança não pode ser eficaz e economicamente viável para todas as unidades de negócio, e menos ainda para todos os componentes de uma única unidade de negócios. Um ótimo plano de gastos com segurança leva em consideração o nível de risco avaliado para evitar um excesso de gastos ou de proteção. Os gerentes de negócios devem oferecer uma quantidade relativamente pequena de perfis de gestão de riscos que sejam projetados para atender a diferentes casos de uso em função da sensibilidade/confidencialidade e do risco dos dados.

2) Fazer planos com base naquilo que a organização de segurança quer, e não no que a empresa precisa - Historicamente, os profissionais de segurança têm feito investimentos centrados na tecnologia e tomado decisões de implementação e distribuição com base naquilo que eles acreditam ser necessário, ao invés de pensarem no que a empresa precisa. É impossível defender os planos de segurança e os orçamentos que exigem se não forem baseados nos objetivos dos negócios. Se os gerentes de negócio não podem ou não fornecerem as informações sobre a significância dos riscos de seus processos de negócio, então os gerentes de alto nível devem entrar em ação e fazer a mediação.

3) Fazer com que as comunicações relativas aos riscos sejam complexas demais para que a empresa compreenda - Os profissionais de segurança devem desenvolver uma forma consistente de expressar e articular a amplitude das condições críticas de segurança de sistemas de TI específicos, dos ativos de informação e dos processos de negócio. O Gartner recomenda uma escala simples de três níveis - alto, médio e baixo - de modo a fornecer um ponto de referência comum para articular a criticidade da TI para o negócio que possa ser potencialmente utilizado por um conjunto correspondente de níveis de serviço da gestão de riscos.

4) Permitir que os gerentes de linha dos negócios transfiram seus riscos para a organização de TI e para a organização de segurança de TI - Os gerentes de Linha de Negócios (Line of business - LOB) estão apenas desejosos demais para tirar vantagem do desejo das organizações de TI e de segurança de TI de aceitar riscos residuais, assumindo a hipótese errada de que a "oferta padrão" de TI vá controlar efetivamente quaisquer formas de risco de TI. Tal abordagem faz com que a organização de TI, ou a organização de segurança de TI, seja o bode expiatório para as falhas de segurança e para qualquer redução resultante no serviço recebido ou na flexibilidade.

"Estruturas de avaliação de riscos simples e passíveis de administrar, a aceitação explícita do risco residual e acordos de níveis de serviço de segurança (SLAs) tornarão possível oferecer uma segurança responsável para a empresa e poderão defender os orçamentos de segurança contra os cortes", explica Heiser. "O primeiro passo que os gerentes de riscos de TI devem dar na direção de melhor se alinharem com a empresa é não tratar os gerentes de negócio como um problema que precisa ser resolvido, mas considerá-los como clientes que precisam de segurança e de serviços de computação confiáveis".

Perfil do Gartner - O Gartner é líder mundial no fornecimento de pesquisas e aconselhamento na área de tecnologia da informação. O instituto fornece as análises de TI necessárias para seus clientes fazerem as escolhas certas todos os dias. De CIOs e diretores de TI em corporações e agências governamentais a líderes em empresas de alta tecnologia e telecomunicações, passando por investidores deste mercado, o Gartner é parceiro indispensável para 60 mil clientes em 10 mil companhias diferentes. Fundado em 1979, o Gartner tem sede em Stamford, Connecticut, e possui 4.000 associados, sendo 1.200 analistas de pesquisa e consultores em 80 países.

No Brasil, o Gartner está presente com três unidades: Gartner Research, que oferece pesquisas e aconselhamento para profissionais, fornecedores e investidores de TI; Executives Programs, grupo de CIOs alimentado pelo conteúdo Gartner com mais de 3 mil membros em todo o mundo; e Eventos, com simpósios e as três Conferências anuais sobre Integração de Aplicativos, Outsourcing e o Futuro da Tecnologia. [www.gartner.com].