Os artigos refletem a opinião pessoal do autor, e não de seus empregadores.

segunda-feira, 12 de dezembro de 2011

Dúvida existencial

Em quase vinte anos de profissão em segurança da informação não consegui ainda entender porque os orçamentos e segurança são tão pequenos. Certamente é um problema conosco, profissionais da área,  mas para mim é ainda um mistério o que deve ser feito para mudar isso. Até hoje não entendo por que a mesma empresa que responde a uma pesquisa dizendo que "segurança é prioridade" compra o firewall (ou qualquer outro sistema de segurança) mais barato enquanto faz questão de comprar os switches e roteadores que entregam tudo o que é pedido pela área de redes, sendo muitas vezes o mais caro da concorrência. 
Por que mesmo empresas de grande porte aceitam firewalls grátis de seus fornecedores de rede? Elas aceitariam um switch de backbone grátis de seu fornecedor de segurança? Certamente não. Pois é...
às

Um comentário:

blackthorne disse...

ola Marcelo.

Creio que a tua dúvida existencial até nem é assim tão difícil de responder. Salientaria duas razões:
- dinheiro - se tens uma empresa de comunicaçoes sabes que se não há serviço de chamadas, não há clientes e se não houver clientes não há dinheiro, ou seja, a infra-estrutura associada ao teu negócio tem de funcionar o que por sua vez já ocupa muitas empresas o suficiente... . já a segurança está por provar, pelo menos do ponto de vista de quem nunca foi arrepiado por um ataque. Se gastarmos 80000 euros aqui, qual o valor do impacto associado a ataques que vamos poupar? 5000? 50000? 200000?
eventualmente pode nem valer a pena gastar muito dinheiro ou gastar uns 20% que poderão bastar para evitar 80% dos ataques.
- awareness : sim, o dinheiro nem sempre explica tudo mas muitas vezes a awareness/ falta de atençao ou preocupaçao, acaba por explicar. talvez para ti como profissional da segurança, isto pareça estranho mas a verdade é que muita gente não sabe dos perigos da Internet ou sabe mas não se preocupa assim tanto porque provavelmente nunca teve ne hum problema ou porque acha que não tem nada para roubar. Se trabalhares na area da construçao civil e quiseres um site para melhor vender os teus serviços, qual achas a probabilidade de te dizer algo como: "quero um site devidamente protegido para os riscos OWASP top 10"?
Nem todos temos noçao disto para sequer ponderar em ter um orçamento dedicado.

Alem disso, hoje em tempos de crise, tem-se de cortar, o q é q achas intocavel no que toca a cortes? Performance? Desenvolvimento? Marketing? Segurança?

Cumps

12/12/2011, 18:29

Postar um comentário