ROI em segurança?!?!?!?

Um dos temas que geram grandes discussões entre os profissionais da área.Como justificar o investimento em segurança da informação?!?!?!Os livros de certificações em segurança(CISSP, Security +, MCSO) nos ensinam a falar de ROI (Return of Investment), mas sabemos que no mundo real a coisa não é tão fácil quanto parece ser.Na minha opinião é necessário mostrar os valores das informações. Em alguns casos é possível ter retorno financeiro imediato como a diminuição da carga de servidores, liberação de algumas máquinas para outro tipo de uso, casos esses muito comuns quando falamos de anti-vírus e gerenciamentos dos mesmos.Mas alguns outros pontos como treinamentos de awareness, engenharia social e uma cartilha de políticas são "menos justificáveis" ai que entra o ponto do valor da informação. É preciso mostrar ao tomador de decisão que apesar do retorno financeiro não ser imediato e/ou muitas vezes nem existir, qual o valor das informações caso sejam perdidas? Qual o risco para o negócio caso um código fonte, ou uma fórmula seja descoberta?Por isso a segurança não pode ser reativa, muitas vezes isso causa prejuízos incalculáveis devido a falta de visão do corpo de diretores para uma proteção proativa.Essa é minha opinião e o caminho que seguiria caso seja preciso convencer pessoas não ligadas a segurança (normalmente área financeira) a necessidade do investimento em determinado controle de segurança.

MS06-040 - Sim ainda ele

Juro que não joguei praga nem nada, mas de umas 3 semanas pra cá os serviços que fazem monitoramento de redes como o ISC , observaram um grande aumento no tráfego em toda Internet nas portas 445/tcp e 139/tcp. Obviamente por worms explorando a vulnerabilidade preferida do momento, a já citada MS06-040.
Já existem vários worms com o W32/SDbot.worm!MS06-040, portanto atualizem-se o mais rápido possível, criem regras no firewall, IDS's e IPS's, a coisa está feia ...como previ...hehehehe