As empresas não querem pagar por Segurança da Informação. E ninguém sensato deveria!

Segurança é a nossa área. E, de tempos em tempos, falamos sobre ataques, prejuizos, e incentivamos pessoas a apoiarem a segurança, quase como um Don Corleone digital:

"Não quer investir em segurança, tudo bem... Mas, quando vier um ataque, eu farei uma proposta que você não possa recusar..."

Em alguns casos, o discurso fica ainda mais pesado:

"A internet é perigosa... Não usar os meus produtos, não pagar pelos meus serviços é um direito seu. Mas é quase sua sentença de morte digital...

Agora me responda com sinceridade: você cairia de amores por um sujeito com esse discurso, que aparece sempre em meio alguma tragédia, orgulhoso de possuir as mesmas técnicas do 'lado mal', de já ter estado por lá, sabendo no detalhe como 'eles' agem, mas que agora quer te ajudar EM TROCA DE DINHEIRO?

Pois é! Nem o Mercado!

E, se você resumir essa minha pergunta, vai acabar com nossa velha conhecida frase:

"Somente um hacker é capaz de combater um hacker. Precisamos contratar mais hackers."

Em um mundo paralelo, alguém nesse exato momento lê a seguinte frase:

"Somente um assassino é capaz de combater um assassino. Precisamos contratar mais assassinos." Sinistro, não? Mas a lógica (falha) é exatamente a mesma!

É por essas e outras que as empresas não querem pagar por Segurança da Informação. E ninguém sensato deveria! Precisamos de outra abordagem...

O personagem Don Draper há tempos já aconselhava:

"Se você não gosta do que está sendo dito, mude a conversa."

Se você, profissional de Segurança, não gosta das respostas que estão sendo ditas, mude as perguntas!

Ao invés dos consagrados "ameaças", "ataques", "cyber coisas", etc..., acalme um pouco a soberba (até por que ela é amiga da vaidade e inimiga da simpatia e da razão) e perceba que as perguntas seguintes são sobre Segurança da Informação e que melhor:

-- Todo nosso conhecimento pode ser repensado de um jeito mais elegante e muito mais útil para as organizações. --

O desafio é perceber que Segurança da Informação pode ser dita sem ameaças e constrangimentos, afinal nosso negócio é a defesa, não o ataque. E esse é o primeiro passo para 'vender' segurança de uma maneira eficiente:

• Processos mais controlados, que previnam identifiquem desvios nos objetivos de negócio? Isso é sobre segurança!
• Pronta resposta e garantia de responsabilização em caso de incidentes? Isso é sobre segurança!
• Quer conectar suas estratégias à sua efetiva execução? Isso é sobre segurança!
• Sinalizar indicadores de risco e desvios, suportando a alta gestão? Isso é sobre segurança!
• Garantia de que as informações importantes estão nas mãos certas? Isso é sobre segurança!
• Oferecer aos parceiros, clientes e colaboradores a transparência necessária para elevar os níveis de confiança e respeito? Isso é sobre segurança!
• Ressaltar comportamentos saudáveis dentro e fora das organizações? Isso é sobre segurança!
• Otimizar as comunicações minimizando ruídos e interferências? Isso é sobre segurança!
• Disponibilizar ferramentas realmente efetivas para melhoria das atividades? Isso é sobre segurança!
• Viabilizar os itens acima, com o mínimo de impacto nas atividades de todos os envolvidos? Isso é sobre segurança! Do mais alto nível!

As possibilidades não param por aí. Esse é apenas um ensaio. Quem sabe mudamos essa conversa e o jeito de fazermos as coisas?

E aí? Está preparado para essa transformação?