“O fato é: quanto mais produtos de segurança uma empresa adquire, mais terá.... produtos de segurança para gerenciar. Não necessariamente estará mais segura. Aliás, eleva-se a chance de ela estar insegura de fato devido ao aumento de complexidade em seu ambiente operacional.

Então o que é segurança? Uma definição que gosto é: segurança em TI se interessa por tudo que abrange a correta privacidade, disponibilidade e qualidade da informação. Essa definição tem derivações óbvias: “estamos inseguros se alguém de fora pode ver as informações internas de nossa empresa”; “estamos inseguros se nossos dados desaparecem”; e “estamos inseguros se alguém modifica maliciosamente nossas informações”.

O que muita gente ignora é que a informação pode ter sido exposta, desaparecida ou deteriorada por fatores internos como disco lotado, má configuração de algum software que nada tem a ver com segurança, ou até uma aplicação desenvolvida internamente, talvez por um programador inexperiente, que consumiu todo o poder de processamento de um servidor, deixando seu serviço - e por conseqüência a informação - indisponível.

Segurança não é firewall. Não são senhas. Nem serviço que se adquire como uma caixa preta. Nem criptografia. Tudo isso nada vale se estiver em mãos inexperientes ou inconseqüentes. Segurança corporativa em TI deve ser uma consciência perene em todos os envolvidos no fluxo da informação, ou seja, todos os funcionários de uma empresa. É um processo. E sendo assim, deve ser invocada desde a confecção de uma aplicação por um programador interno, até seu uso na mesa do usuário final. O primeiro mais que o último.”