Em segurança da informação, todo cuidado é pouco, já que as consequências de sistemas inseguros podem ser desastrosas e custosas. O trabalho de defender o orçamento de segurança da informação no entanto não é tarefa fácil, uma vez que é difícil falar a linguagem do negócio e demonstrar o retorno para o negócio (ROI).

O maior desafio atualmente para o C-level (CSO e CIO) é saber como desenvolver e manter um diálogo constante com o conselho executivo sobre a importância da segurança da informação no contexto geral dos objetivos da corporação.

Reconhecendo que a segurança deve fazer parte do planejamento executivo e da gestão de riscos de uma empresa, muitas companhias estão agora se estruturando para que a segurança seja parte integrante do planejamento executivo. Esse processo deve partir do C-level, já que é a parte que está mais envolvida e tem maior expertise sobre a questão. Em geral, se não houver um esforço prévio por parte do C-level, em termos de diálogos e alertas constantes, os executivos da empresa se voltam para a questão da segurança da informação apenas quando ocorre uma situação de crise.

Se não houver o diálogo entre as partes, é possível que o orçamento de TI destinado para a segurança caia e que a infraestrutura não seja arquitetada de forma a se contemplar a segurança. Em caso de crise, os executivos podem alegar que não foram devidamente alertados para esse tipo de situação, consequentemente, a culpa dos problemas é diretamente retransmitida para o CIO e o CSO.

A informação é o motor das empresas, e, uma segurança desenvolvida de acordo com as necessidades do negócio é fundamental para gerenciar o risco de forma correta e eficiente, sempre pensando no que faz sentido para o negócio.

As empresas que são mais eficientes com relação à segurança da informação costumam apresentar três características. Primeiro, são geridas em busca de resultados, e não das atividades exercidas. Segundo, elas ganham credibilidade educando todos os funcionários sobre a importância da segurança da informação, assim como realizam seu investimento de segurança de acordo com o que faz sentido para o negócio. Por fim, são comprometidas com padrões independentes de qualidade e com a avaliação dos diferentes setores, se estes atingem ou não os padrões estabelecidos.

Por fim, é importante dizer que a segurança deve ser efetivamente integrada e alinhada com a estratégia corporativa, os objetivos, o estilo e a estrutura de negócio da empresa. Contudo, para atingir esse patamar, os profissionais de segurança precisam falar a linguagem do negócio, e, dessa forma, vender a ideia e o planejamento para os executivos, provando o valor da segurança da informação para o negócio. Este é um caminho necessário para melhorar a comunicação, melhorar o diálogo e ser capaz de montar uma estratégia de segurança mais eficiente capaz de apoiar os objetivos corporativos.

two-businessmen-talking-outside