Pareto e a Segurança

Marcos Sêmola(*)
linha.gif (1525 bytes)

O cientista italiano Pareto descobriu, no século passado, uma relação de causa e efeito em que 80% dos resultados são gerados por apenas 20% do esforço. Pode parecer irreal, mas o tempo e os exercícios contínuos com os números foram mostrando aos gestores que 20% dos vendedores de uma empresa geram 80% das vendas ou que 20% dos clientes são responsáveis por 80% da receita.
A importância de Pareto para a Segurança está associada à grande dimensão do esforço necessário para reduzir e administrar continuamente os riscos da informação. Apesar das vulnerabilidades físicas, tecnológicas, humanas e processuais crescerem e se renovarem diariamente, o montante de investimentos compatível com o valor do bem que se quer proteger, ou simplesmente disponível, é finito.
 
Essa limitação é real e os problemas são muitos, portanto, o grande e atual desafio dos Chief Security Officers (CSOs) e das consultorias especializadas, é a estrutura de suporte ao processo decisório que definirá o que deve ser postergado, o que deve ser priorizado e até mesmo, o que deve ser esquecido e não poderá ser atendido pelos investimentos.
 
É uma situação difícil, sem dúvida, mas a busca cega pela excelência teórica baseada apenas em normas internacionais e melhores práticas, devem ceder à necessidade prioritária de gerir baseando-se nos interesses do negócio. O ato de investir em segurança da informação deve ser conduzido com a mesma seriedade com que um executivo decide ampliar sua linha de produção ou automatizar sua força de vendas, ou seja, pensando no resultado.
 
Não faz sentido algum investir tempo, dinheiro ou recursos de qualquer natureza, que valham mais do que o próprio bem protegido. Não faz sentido realizar ações em processos longos de análise de segurança se eles não puderem orientá-lo a corrigir falhas com velocidade. Não faz o menor sentido despender esforço para obter a certificação BS7799, por exemplo, se os maiores problemas que comprometem a integridade de suas informações, continuam sendo o vírus, o perímetro internet, sua infra-estrutura elétrica e a conduta de seus funcionários. É como preparar um automóvel para uma viagem dura de 2.000 km, instalando pneus reservas, piloto automático, peças sobressalentes para o motor e sistemas de posicionamento global, e esquecer de abastecer o tanque de combustível.
 
A regra de Pareto deve nortear executivos de segurança e consultorias, pois tempo e dinheiro são finitos, mas os problemas não. Decidir o que é prioritário, o que é mais representativo para a natureza do negócio, avaliar o que é relevante, contextualizar as falhas e identificar as ações que representam os 20% de esforço que proporcionarão 80% do resultado.
 
Investimento inteligente é a chave que pode tirar das costas o peso do investimento que não consegue ser medido; dos projetos que geram apenas belos e pesados relatórios; da busca inconsistente pela certificação; da solução apenas academicamente perfeita e da especificação de políticas de segurança enlatadas e utópicas. Mesmo aplicado à segurança, estamos falando de investimento que, como em qualquer outra situação, deve estar orientado aos interesses do negócio e de seus gestores, proporcionando a geração de mais dinheiro, a redução de perdas e a redução dos riscos.
 
Veja aqui algumas considerações para apoiar o processo de decisão e aprimorar os investimentos em segurança da informação:

                    

Marcos Sêmola
é SAM Security Consulting Manager da multinacional Atos Origin, Consultor Sênior em Gestão de
Segurança da Informação, CISM - Certified Information Security Manager, Professor de Segurança
da Informação da FGV - Fundação Getúlio Vargas, MBA em Tecnologia Aplicada, Bacharel em
 Ciência da Computação, autor do livro Gestão da Segurança da Informação - uma visão executiva,
Ed.Campus e eleito pelo prêmio SecMaster, Profissional de Segurança da Informação de 2003 cat4.
Sugestões e comentários para esta coluna podem ser enviados a marcos@semola.com.br