November 5, 2003 – 10:35 am
P/ não dizer que o site está completamente abandonado, vou copiar aqui um e-mail que enviei para a lista CISSP-BR (http://groups.yahoo.com/group/cisspBR/) sobre ROI em segurança:
From: aqbarros@b…
Date: Wed Oct 22, 2003 12:34 pm
Subject: RES: RE: [cisspBR] Artigo interessante - mais!
Deixa eu soltar mais uma?
O prédio onde eu moro nunca teve um foco de incêndio. Porém (vou ignorar a parte de legislação), eles recarregam os extintores todo ano! Mas é um investimento sem retorno, está errado??
Eu pago seguro dos carros que tive desde que comprei o primeiro. Nunca roubaram meu carro. Qual foi o meu ROI?
O problema de trabalhar com números em análise de riscos é que tem um componente que é uma probabilidade. O avião é mais seguro que o automóvel. Alguém aqui se sente mais seguro em uma decolagem de avião do que indo de carro até a padaria?
Eu quero chegar no ponto, a probabilidade é só isso, uma probabilidade. Portanto, o retorno efetivo do investimento só será conhecido, se isso puder ser medido, no futuro, e não no momento onde ele é necessário (devo ou não investir?). Se o síndico do meu prédio soubesse que não haveria foco de incêndio todos estes anos, por que ele investiria nos extintores?
Se alguém quiser falar em _retorno_, que pelo menos diga “se as ameaças se comportarem como as probabilidades, então teríamos um retorno de X”.
Eu não me sinto um otário de ter pagado seguro do carro todos esses anos. E o ROI disso, p/ mim, foi ZERO. Agora, um seguro normalmente cobra algo em torno de 10% do valor do carro anualmente. As probabilidades NÃO dizem que cada proprietário de automóvel tem um carro roubado a cada 10 anos, mas mesmo assim a gente faz seguro!!
Ou somos péssimos gestores ou essa história de ROI para prevenção de perdas não funciona muito bem…
[]s
Augusto Quadros Paes de Barros
Information Security Knowledge & Policies
Information Security Office
BankBoston
