A generalidade das organizações acredita que é imperativo serem inovadoras para se manterem em vantagem face à concorrência. Contudo, também acredita que, apesar das suas melhores intenções, os riscos à segurança das TI estão a limitar a inovação das empresas. Esta é, pelo menos, a conclusão de dois estudos encomendados e divulgados pela RSA, a divisão de segurança da EMC. O primeiro destes estudos, conduzido pela IDC, revela um crescente abismo entre segurança e inovação e examina as consequências desta realidade no negócio das principais companhias do mundo. O segundo estudo, divulgado pelo Security for Business Innovation Council da RSA, baseia-se num inquérito realizado junto de um grupo de executivos da área da segurança para definir o primeiro conjunto de estratégias de gestão de risco com o objectivo de reduzir esse abismo. “A incontornável ligação entre segurança e inovação é evidente, mas as organizações estão realmente a lutar para encontrar o justo equilíbrio entre a condução de novas práticas inovadoras para o mercado e a instituição de medidas de segurança TI eficazes”, afirmou o presidente da RSA, Art Coviello, acrescentando que “a segurança sempre foi uma questão importante para as empresas e este estudo diz-nos que continua a ser uma prioridade para as equipas de gestão sénior”. O estudo da IDC, intitulado “Innovation and Security: Collaborative or Combative”, baseado num inquérito a perto de 200 executivos de topo e profissionais da segurança, mostra que a maioria das organizações acredita que a criação de um ambiente ideal para a inovação é algo imperativo para se manterem à frente da concorrência. Contudo, os inquiridos revelam que, apesar das suas intenções, os riscos à segurança informática estão a actuar como obstáculo à inovação das empresas. Com efeito, 80% dos inquiridos admitem que as suas organizações viraram as costas a algumas oportunidades de inovação devido a preocupações com a segurança da informação. A IDC concluiu ainda que, embora 80% dos CEOs acreditem que as suas equipas de segurança são formalmente reconhecidas pela sua contribuição para o crescimento das empresas e da inovação no seio das mesmas, apenas 44% dos líderes dessas equipas consideram que os seus contributos para a inovação das organizações são tidos em conta. Esta constatação aponta para uma falta de alinhamento entre as expectativas dos gestores de nível C e as prioridades dos profissionais da segurança. E embora a necessidade de associar as estratégias de segurança directamente aos objectivos do negócio seja amplamente reconhecida, apenas 21% dos inquiridos acreditam que as suas organizações realizaram com sucesso este alinhamento, necessário para estimular – em vez de impedir, como acontece hoje – a inovação. “Os negócios de hoje não podem crescer sem a existência de um ambiente saudável que estimule a inovação”, acredita Chris Christiansen, vice-presidente da IDC, acrescentando que “apesar de alguns progressos nesta área, é evidente que as relações entre inovação e segurança são ainda muito tensas”. Na sua opinião, “ambas as vertentes não deveriam ser prioridades em competição, porque na verdade são complementares. Acreditamos que as organizações que solicitam o envolvimento das TIs nos seus esforços de inovação do negócio, e estabelecem metas nesse sentido, têm muito mais hipóteses de atingir os seus objectivos globais”. Nova abordagem à gestão de riscos Entretanto, o relatório divulgado pelo Security for Business Innovation Council da RSA, intitulado “Mastering the Risk/Reward Equation: Optimizing Information Risks to Maximize Business Innovation Rewards”, oferece a fórmula para calcular a relação risco/recompensa, no sentido de ajudar a maximizar o valor dos negócios e a colocá-los na direcção certa para atingirem o equilíbrio entre os riscos de segurança e a inovação. O Security for Business Innovation Council é composto por 10 executivos de segurança provenientes das Global 1000, dispostos a partilhar a sua visão e experiência para ajudar as empresas de todo o mundo a obterem os conhecimentos necessários sobre a segurança das suas informações. “Em última análise, o maior risco que existe para uma companhia não é a vulnerabilidade das suas informações, mas a sua eventual incapacidade de ir ao encontro das expectativas dos seus clientes”, afirma Bill Boni, responsável pela ária de segurança da Motorola, uma das empresas que compõem o conselho. Na sua opinião, “para obter vantagem competitiva, as empresas têm que correr riscos calculados e confiar nas medidas de segurança”. Como ponto de partida, o relatório recomenda algumas mudanças nas estratégias organizacionais e no comportamento das empresas: 1) Altere o foco da equipa de segurança, de “Segurança da Informação ” para “Gestão de Risco da Informação”, para sublinhar que o objectivo é atingir um nível de risco aceitável; 2.) Use uma abordagem transversal a toda a organização para compreender e formalizar o nível de risco que a empresa está disposta a aceitar; 3.) Construa um modelo de risco assumido para delinear onde e em quem estão depositadas as responsabilidades sobre as decisões de risco; 4.) Crie um processo para calcular a relação risco/recompensa das novas iniciativas de negócio e assegure a sua implementação por toda a organização. (Fonte: http://www.computerworld.com.pt/site/content/view/6319/44/)