É importante observarmos que na maioria das empresas a área de segurança da informação funciona “dentro” da área de Tecnologia da Informação. Conversando com alguns profissionais que vivem essa realidade, a principal discussão neste final de 2009 foi sobre quanto deste orçamento será disponibilizado para a área de segurança da informação.

Investimentos para segurança da informação

Os assuntos relacionados à segurança da informação trazem um nível superior de Governança Corporativa pós-crise. Isso ocorre porque houve uma evolução na adoção das Melhores Práticas durante a crise financeira global. Houve uma pressão maior por parte da alta administração para alinhar o Sistema de Gestão da Segurança da Informação ao planejamento estratégico da organização, objetivando a melhoria dos processos, redução de custos e o aumento da capacidade para assumir projetos de maior risco em 2010.

A gestão e controle de riscos ajudou a apontar mudanças em determinados processos, identificando e priorizando os investimentos necessários para que a organização possa assumir projetos mais complexos e de alto risco.

Durante o evento sobre a “Lei de Crimes Cibernéticos”, realizado no dia 14 de dezembro de 2009, onde fui um dos especialistas convidados para o debate, tive a oportunidade de conversar com gestores de grandes organizações de diferentes setores no Brasil. As novidades eram que a alta administração disponibilizou um orçamento proporcional as necessidades relacionadas a segurança. Ou seja, a área de segurança da informação está com um orçamento para 2010 superior aos anos anteriores.

A pressão pela Melhoria Continua dos processos relacionados a segurança da informação ocorrem com mais freqüência nos períodos de crise. Quando tudo está indo bem, as discussões sobre o assunto diminuem na organização. Um dos comentários realizados durante o debate sobre a Lei de Crimes Cibernéticos, por um executivo da área de segurança, foi que “algumas empresas aprendem pela dor e outras pelo amor”.

A recente crise financeira global colocou a prova as competências das equipes de segurança da informação. Ocorreu a famosa “dança das cadeiras” em algumas organizações. Porém, as demissões que tive conhecimento não estavam relacionadas às dificuldades financeiras da organização. O problema detectado pela alta administração estava relacionado às competências técnicas e comportamentais de alguns profissionais. Essas competências foram colocadas a prova exatamente quando a empresa começou a aprender pela “dor”. A alta administração cobrou resultados da área de segurança da informação e a resposta de alguns profissionais não atendeu as expectativas dos executivos. Estou falando de ações isoladas de alguns profissionais (esforço individual), planejamento e controle deficiente, procedimentos não padronizados, nível de conhecimento não uniforme entre os principais envolvidos com os processos de segurança da informação, existência de conflitos internos e o pior de tudo foi o não alinhamento com os negócios da empresa.

Controles internos
Aproveitando a SETEC09, realizada em Angola entre os dias 04 à 06/12/2009, onde pude observar alguns comentários sobre os relatórios de auditorias externas. A boa notícia é que as organizações apresentaram melhorias relevantes nos controles internos.

Conversando com executivos no Brasil, os indicadores relacionados aos controles internos também foram positivos em 2009. Estas melhorias foram originadas pela necessidade dos processos de segurança da informação estarem alinhados ao planejamento estratégico. A crise pode ter sido positiva em alguns aspectos. O pós-crise, com um aumento do orçamento para segurança da informação, irá provar em um curto espaço de tempo que a Governança da Segurança da Informação está ganhando cada vez mais espaço nas organizações.

* Denny Roger é Presidente da Abrasinfo