ROI em segurança?!?!?!?

Um dos temas que geram grandes discussões entre os profissionais da área.Como justificar o investimento em segurança da informação?!?!?!Os livros de certificações em segurança(CISSP, Security +, MCSO) nos ensinam a falar de ROI (Return of Investment), mas sabemos que no mundo real a coisa não é tão fácil quanto parece ser.Na minha opinião é necessário mostrar os valores das informações. Em alguns casos é possível ter retorno financeiro imediato como a diminuição da carga de servidores, liberação de algumas máquinas para outro tipo de uso, casos esses muito comuns quando falamos de anti-vírus e gerenciamentos dos mesmos.Mas alguns outros pontos como treinamentos de awareness, engenharia social e uma cartilha de políticas são "menos justificáveis" ai que entra o ponto do valor da informação. É preciso mostrar ao tomador de decisão que apesar do retorno financeiro não ser imediato e/ou muitas vezes nem existir, qual o valor das informações caso sejam perdidas? Qual o risco para o negócio caso um código fonte, ou uma fórmula seja descoberta?Por isso a segurança não pode ser reativa, muitas vezes isso causa prejuízos incalculáveis devido a falta de visão do corpo de diretores para uma proteção proativa.Essa é minha opinião e o caminho que seguiria caso seja preciso convencer pessoas não ligadas a segurança (normalmente área financeira) a necessidade do investimento em determinado controle de segurança.