Gbitten

Segurança da informação tem duas grandes vertentes: uma tecnológica e outra de gestão. A primeira vertente avança com grande velocidade a ponto de ser difícil de acompanhar. Já a segunda, não apresenta nada de verdadeiramente novo a um bom tempo.

Basicamente o que vemos hoje é gestão baseada em conformidade, em risco ou em ambos. Modelos de gestão por conformidade são fundamentados em ditas melhores práticas do mercado, porem sofrem por não conseguirem apresentar o valor real que estas práticas trazem a organização.

Modelos de gestão por risco também têm suas limitações. Os que trabalham com riscos qualitativos, trazem a dificuldade de associação do risco identificado com a realidade percebida pela organização, pois o risco identificado depende fundamentalmente do ponto de vista de quem o identificou. Por sua vez, realizar o cálculo de risco quantitativo em segurança da informação uma tarefa extremamente árdua e muitas vezes inviável quando se busca um resultado útil e honesto para a gestão.

Será que estamos fadados a estas opções? Acredito que não. Existem alguns estudos relacionados à teoria econômica (macro e micro) aplicada à segurança da informação. As forças de mercado estão cada vez mais fáceis de serem identificadas nas questões envolvendo segurança da informação. O próximo passo me parece óbvio, por que não utilizar os modelos de gestão econômica para gestão de segurança da informação?