fevereiro 24, 2006

[Segurança] Retorno de Investimento em Segurança

Muito se discute sobre o retorno sobre o investimento (ROI) em segurança. Como provar, mostrar ou garantir que o dinheiro gasto com infraestrutura e processos em segurança da informação foi eficiente? Que benefícios trouxeram? Algum prejuízo foi evitado? Quanto?

O ROI é uma medida genbérica que os administradores utilizam para avaliar se um determinado projeto deve ser levado adiante. Mas, na maioria das vezes, o investimento em segurança não vai representar um aumento no lucro da empresa (seja um maior faturamento, ou mesmo um custo menor).

O artigo "It’s hard to determine the ROI of information security measures" da Networkworld foi comentado recentemente na lista CISSP-BR e tem um trecho interessante, que eu concordo plenamente e reproduzo a seguir:

Information security suffers from a serious structural problem: the better we are at preventing harm to our information, the less hard evidence we can present to naïve colleagues that our measures are effective. We are accused of being like the madman on the street corner who is waving a dead chicken around his head. “Why are you doing that?” people ask. “To keep the flying elephants away.” “But,” people protest, “there are no flying elephants.” “See?” he responds in triumph. “It works!”

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.