O peso dado - e consequentemente o orçamento destinado a segurança - varia, na média, de indústria para indústria e de acordo com a cultura e experiências anteriores da organização. Eventos de quebra de segurança tais como indisponibilidade de sistemas ou roubo de informações ocasionam, invariavelmente, perda de receita, aumento de gastos imediatos para contornar o problema e, boa parte das vezes, uma indesejável exposição do acontecido com danos a reputação da organização e a carreira dos envolvidos. Nenhuma novidade até aqui, todos sabem disso. Existem, porém, outros efeitos indesejados não tão evidentes como estes.
Corporações com pouca cultura de segurança ou sem um sólido planejamento para a questão tendem a orientar a aplicação dos recursos pelo pânico causado pelos incidentes vividos ou observados em outras corporações similares. A reação padrão nessas ocasiões é a adoção de soluções para problemas específicos em detrimento de uma abordagem harmônica e balanceada de todos os sistemas de segurança. A adoção de novas técnicas em situações como essa implica normalmente em especificações pobres, processos de seleção de soluções incompletos, ausência de planejamento para integração da nova solução aos sistemas e processos existentes, além de baixa taxa de sucesso no processo de implantação.
O resultado final não falha: altos custos operacionais e de implantação e elevação insignificante ou inexistente do nível global de segurança. Vale lembrar que segurança de TI é composta por vários sistemas e que o conjunto será tão forte quanto a sua parte mais fraca. Fortalecer apenas um ponto em detrimento dos demais certamente não é a melhor prática.
Essas são situações extremas, mas de forma nenhuma raras. Situações intermediárias tratam de coisas mais sutis como ausência de recursos integrados de gestão, definição pobre de objetivos de segurança, pouca padronização de processos operacionais, contabilização de custos e medição de resultados deficiente.
Cabe observar que em processos razoavelmente adequados para introdução de novas tecnologias de segurança os resultados implicam em melhoria imediata do nível de segurança da organização. Porém, sem processos operacionais adequados, esse nível inicia uma queda constante até atingir patamares próximos ao nível observado antes da adoção da tecnologia. De outra forma processos operacionais de boa qualidade, aplicados sobre a tecnologia e ferramentas de gestão corretas, melhoram progressivamente o nível de segurança e facilitam a adoção de novas tecnologias no futuro.
