Nestes anos de consultoria em Segurança da Informação tenho realizado diversos projetos na área e, ainda hoje, quase sempre estes projetos só se concretizam por dois motivos básicos:

- Necessidade; ou
- Obrigatoriedade.

Necessidade, pois algo de ruim aconteceu, seja uma invasão, fraude, roubo ou qualquer outro incidente grave. Se a sua organização está preparada para responder a esta situação, ótimo. É hora conter os danos, corrigir as falhas, se possível, avaliar e implementar medidas preventivas e se preparar para novas situações, tudo conforme planejado. Caso contrário, você está junto à grande parte das organizações e vai sofrer muito mais, "apagando incêndios".

Obrigatoriedade, pois alguém do governo, de algum órgão regulador ou de uma matriz, por exemplo, percebeu que Segurança da Informação é um negócio sério e resolveu "baixar um decreto"! Mais uma vez se a sua organização está bem preparada, ótimo! É só preparar documentações, alinhar alguns objetivos, rever procedimentos, etc. Caso contrário, o trabalho pode ser enorme, com algo que, para muitos, aparentemente não tem sentido.

Apesar de existirem algumas organizações que se preocupam com a segurança de suas informações, poucas se preparam e investem na proteção das mesmas de forma a transformar necessidade e obrigatoriedade em prioridade, ou se acharem melhor, pró-atividade.

Quando Segurança da Informação é prioridade, a organização geralmente é mais pró-ativa e madura o suficiente para entender que apesar de muitas vezes não ser possível justificar o Retorno Sobre o Investimento (ROI) direto, em cifras ($$$), é possível demonstrar outros tipos de retorno, diretos e indiretos, que elevam o valor da Segurança da Informação.

Mais do que "correr atrás do prejuízo" ou estar em conformidade com qualquer lei, a organização deve ser conscientizada, geralmente nos cargos mais altos, de que Segurança da Informação não é mais uma área que somente gasta, mas sim uma área que auxilia a organização a atingir seus objetivos de negócio e que para isto são necessários investimentos, muitas vezes menores que a contenção dos gastos (aí sim gastos) devido a um incidente grave.

Não existe uma fórmula mágica para isto, mas se você conseguir demonstrar como a Segurança da Informação auxiliará, melhorará ou possibilitará processos de negócio, você já terá uma melhor chance!