Os gerentes perguntam muito: “estamos totalmente protegidos?” ou então “vocês garantem … (que não vamos perder dados, ou que o sistema não vai parar etc)”. A resposta é simples: não existe risco zero.
Risco é uma percepção. Quando mais aprendemos, mais entendemos que existem muitos riscos que não conseguimos prever (brrrrrrrrrrrrr, que medo!).
O importante é se sentir seguro com o nível de investimento que se deseja fazer (se não fizer investimento nenhum em segurança da informação, aí é complicado querer algo que preste – é mais fácil culpar alguém, normalmente o profissional de TI ou o terceirizado).
A Gestão de TI e Segurança é composta dos seguintes fatores (metodologia 6M do Vicente Falconi, adaptado para TI):
*Fatores de Risco:
- Infraestrutura (hardware/software)
- Pessoas
- Políticas e Processos
- Aplicações Críticas
- Consciência/Cultura
- Organizacional (Governança/Fatores Estratégicos/Ambiente Externo)
Se a empresa investir de forma equilibrada em todos os fatores acima (objetivando diminuir os riscos relacionados a cada fator), é razoável dizer que os principais riscos serão mitigados efetivamente.
Caso contrário, esqueça o Risco Zero. Por exemplo, ninguém consegue garantir que um vírus não vai entrar em um computador. Mas lembre-se que podemos levar ESPERANÇA ou paz/tranquilidade, com boas práticas e sem investimentos desnecessários, minimizando os riscos para o nível de investimento desejado ou possível.
De modo geral, quanto maior o investimento em segurança, menor o risco (dentro de determinados limites de investimento, claro!).
* Adaptado para TI por Flávio Marques
