Investidores empresariais querem sempre a melhor opção para seus recursos financeiros, realizando análise de riscos e decidindo pelo custo de oportunidade. Uma vertente que ganha cada vez mais atenção nessa avaliação é a segurança da informação devido às grandes ameaças que já vêm ocorrendo e que estão previstas para os próximos anos.
Uma startup, com investimento relativamente baixo, costuma ser escolhida por investidores de alto risco pois o retorno pode ser muito maior do que a perda. Mas para empresas já consolidadas, com elevado número de clientes, os investidores procuram transparência, com os riscos mitigados e monitorados. Afinal, quanto maior a organização, maior poderá ser sua perda. Imagine se ocorre um desastre natural no local onde estão armazenados os dados financeiros, contratos, informações de clientes, etc. Como a empresa pode continuar? Da mesma forma, ataques cibernéticos e disponibilidade de recursos devem ser considerados para análise. É claro que tudo isso implica em aumento do TCO.
A replicação de parte do ambiente de TI atual para um de prontidão para casos de emergência em outra localização geográfica é chamada de Disaster Recovery (DR). Quando um desastre (natural ou não) ocorrer, este ambiente paralelo é acionado e os dados recuperados, além dos sistemas, permitem o negócio continuar de forma ágil.
Observe que o principal gasto desta solução está em função da decisão de negócio sobre desastre: no quanto se aceita perder de dados e o tempo esperado de recuperação para operação. Uma alternativa é a contratação em ambiente de Cloud Computing (nuvem) público que pode garantir um SLA alto independente de desastres e de backup. Neste caso o risco é compartilhado com o fornecedor, já que se este falhar pode afetar a reputação do cliente. Seja qual for o modelo de contratação, ainda é preciso avaliar outras despesas como treinamento interno para estes eventos, outro local de trabalho em caso de desastre natural e análise de equipes e sistemas fundamentais para continuidade.
O DR ou SLA em nuvem atua em parte do problema, e, assim como a tecnologia pode ser usada para servir à sociedade, também pode ser usada contra ela. Logo, a reputação de uma empresa está ameaçada quando softwares mal-intencionados (vírus, spyware e outros malwares) permitem o controle de seus ativos de TI à terceiros. Portanto, além de observar os sites de reclamações e redes sociais é preciso que a organização esteja atenta ao uso inadequado de seus recursos, se prevenindo com políticas claras e monitoramento de segurança constante.
Pense bem, você investiria em uma empresa que pode parar de operar da noite para o dia? Ou que tem informações confidenciais vazadas? Ou, ainda, que é acusada de usar seus recursos para fins não éticos? Isso já está na análise de risco dos investidores modernos, afinal cada dia mais precisam estar atentos ao impacto da TI, incluindo ciberameaças como o sequestro de dados (ransomware) ou indisponibilidade por ataques (DDoS). Por este motivo, o investimento em segurança da informação, em forma de prevenção, também é chave para o sucesso de um negócio.
* André Duarte é coordenador de Operações do Arcon Labs