Investidores empresariais querem sempre a melhor opção para seus recursos financeiros, realizando análise de riscos e decidindo pelo custo de oportunidade. Uma vertente que ganha cada vez mais atenção nessa avaliação é a segurança da informação devido às grandes ameaças já vêm ocorrendo e que estão previstas para os próximos anos.
Quando um empreendedor avalia o potencial de seu negócio, uma das principais questões são os riscos. Da mesma forma, seus potenciais investidores fazem uma análise deste tipo para determinar o custo de oportunidade entre opções distintas, avaliando TIR e VPL, para decidir se a empresa deve receber aplicação dos seus recursos financeiros.
Uma startup, por exemplo, com investimento relativamente baixo, costuma ser escolhida por investidores de alto risco pois o retorno pode ser muito maior do que a perda. Mas para empresas já consolidadas, com elevado número de clientes, os investidores procuram transparência, com os riscos mitigados e monitorados. Afinal, quanto maior a organização, maior poderá ser sua queda.
A segurança da informação é um importante fator a ser considerado para mitigar riscos ao negócio. Imagine se ocorre um desastre natural no local onde estão armazenados os dados financeiros, contratos, informações de clientes, etc. Como a empresa pode continuar? Da mesma forma, ataques cibernéticos e disponibilidade de recursos devem ser considerados para análise. É claro que tudo isso implica em aumento do TCO.
Em planejamento de TI, a replicação de parte do ambiente de TI atual para um de prontidão para casos de emergência em outra localização geográfica é chamada de Disaster Recovery (DR). Quando um desastre (natural ou não) ocorrer, este ambiente paralelo é acionado e o negócio pode continuar.
Observe que o principal gasto desta solução está em função da decisão de negócio sobre desastre: no quanto se aceita perder de dados e o tempo esperado de recuperação para operação. Uma alternativa é a contratação em ambiente de Cloud Computing (nuvem) público que pode garantir um SLA alto independente de desastres e de backup. Neste caso o risco é compartilhado com o fornecedor, já que se este falhar pode afetar a reputação do cliente. Seja qual for o modelo de contratação, ainda é preciso avaliar outras despesas como treinamento interno para estes eventos, outro local de trabalho em caso de desastre natural e análise de equipes e sistemas fundamentais para continuidade.
O DR ou SLA em nuvem atua em parte do problema, e, assim como a tecnologia pode ser usada para servir à sociedade, também pode ser usada contra ela. Logo, a reputação de uma empresa está ameaçada quando softwares mal-intencionados (vírus, spyware e outros malwares) permitem o controle de seus ativos de TI à terceiros. Portanto, além de observar os sites de reclamações e redes sociais é preciso que a organização esteja atenta ao uso inadequado de seus recursos, se prevenindo com políticas claras e monitoramento de segurança constante.
Pense bem, você investiria em uma empresa que pode parar de operar da noite para o dia? Ou que tem informações confidenciais vazadas? Ou, ainda, que é acusada de usar seus recursos para fins não éticos? Isso já está na análise de risco dos investidores modernos, afinal cada dia mais precisam estar atentos ao impacto da TI, incluindo ciberameaças como o sequestro de dados (ransomware) ou indisponibilidade por ataques (DDoS). Por este motivo, o investimento em segurança da informação, em forma de prevenção, também é chave para o sucesso de um negócio.