Até bem pouco tempo, ao menos em determinados segmentos como segurança e tecnologia da informação, era comum dar-se a denominação a determinado profissional de conhecimento muito específico de “mosca branca” devido a raridade de encontrar tal especialização. Estes profissionais, que costumam ser um desafio para as áreas de Recursos Humanos destas corporações, quando encontrados, normalmente, são contratados a peso de ouro, pois fazem parte do sucesso de implementação de um projeto estratégico.
Uma destas figuras raras é o profissional de gestão de riscos de segurança. Embora merecedores de igual respeito pelo conhecimento, não estou me referindo aqui ao profissional de riscos de capital (ou investimentos) ou riscos securitários, mas, sim, ao profissional de riscos de segurança de TI. Especialista capaz de quantificar e encontrar o chamado “ponto ótimo” entre investimentos e prevenção. Em outras palavras, ele identifica os riscos, seus impactos, probabilidade e o quanto precisa ser investido para garantir o sucesso rentável do projeto.
Para melhor ilustrar o que digo imagine uma situação comum de risco para as operações de uma empresa média que, como muitas nos dias de hoje, depende do seu link de internet para as ações de controle, marketing e vendas de produtos. Um bom trabalho de Análise de Impacto de Negócios consegue chegar a compreensão de quanto custa - monetariamente a uma organização a paralisação de um processo de negócio. Assim, a interrupção do acesso à internet por uma empresa pode ser precificada conforme o tempo desta queda. A esta visão de impactos, deve-se considerar outra variável essencial para a qualificação do risco: a probabilidade.
Riscos, por conceito, tem relações absolutamente desconexas entre impacto e probabilidade. As chances de um avião bater na sede de sua empresa são muito distintas, bem como os impactos, se você trabalha em uma grande metrópole ou em uma cidade a 200km do aeroporto mais próximo.
De volta ao nosso exemplo inicial e, ciente de quanto custa a paralisação das operações da empresa ilustrada, quais as reais chances de haver uma interrupção de uma hora no acesso à internet neste ano? 10%, 50%, 99,9%...? Pois bem. Será justamente esta análise de impactos e probabilidades a matéria-prima sobre o qual nosso “mosca branca” terá de se debruçar a fim de encontrar o ponto ótimo de equilíbrio a fim de não gastar demais e, com isto, "vazar" desnecessariamente recursos monetários cada vez mais escassos para a empresa, mas, também, não investir menos que o necessário de forma a ficar exposto à paralisação das operações e, consequentemente, a perdas financeiras.
Com isto, fica mais explícito o papel e relevância do gestor de riscos de segurança. Em seu trabalho de homogeneizar investimentos proporcionais à segurança pretendida, ele está dando sustentação e viabilidade não somente às Operações, mas também ao Plano Estratégico da organização, uma vez que os recursos certos passam a ser investidos na proporção adequada – o que se desdobra em permitir que os outros investimentos nas distintas áreas da corporação não sejam comprometidos.
Como dito, não é fácil (e nem barato) encontrar este tipo de profissional no mercado. Assim, um caminho natural das corporações que precisam se manterem seguras é buscar apoio consultivo em empresas focadas e atualizadas neste conhecimento. Um bom consultor de riscos de segurança deve ser capaz de prover às organizações conhecimentos de gestão (estratégia), técnicos (tecnologia da informação) e habilidades humanas (comunicação eficaz e integração de partes interessadas) simultaneamente. Talentos distintos, mas que devem coexistir para permitir que as organizações possam implementar seus projetos estratégicos e operações suportadas por uma visão profissional, atualizada com a dinâmica dependente deste ambiente cada vez mais perigoso da tecnologia da informação.
#FicaDica: na hora de contratar um consultor de segurança da informação lembre-se que este é um profissional de custo elevado. Mas, muito maior ainda pode ser o desperdício e custo que os seus sinistros podem trazer, mais hora, menos hora.
Um forte abraço!