Investir em segurança da informação é mais do que simplesmente justificar seus custos frente aos prejuízos que seriam causados pelos incidentes que ela evita. Sua empresa pode obter mais do que apenas evitar despesas inesperadas, se seu plano de segurança da informação focar o negócio - e não a própria segurança - como fim.

Aceitamos fazer seguro de vida, de nossos carros, casas e outros bens de valor porque entendemos a necessidade de segurá-los contra a possibilidade de morte ou invalidez, acidentes automobilísticos, roubo e assim por diante e entendemos que o valor gasto no pagamento do prêmio de um seguro vale a pena em relação ao prejuízo que evitará caso ocorra um sinistro. Mas, quando se trata de investir na segurança de nossos dados e informações, sempre encaramos tal investimento como mera despesa "desnecessária" ou, no mínimo, "adiável" - mas até quando? Até o dia em que um incidente crítico ocorrer? O fato de que dados e informações representam algo invisível, abstrato, colabora ainda mais para que a maioria das empresas não os "enxerguem" como algo prioritário a ser protegido - embora, curiosamente, dependam dela para sobreviver... Até quando as empresas ficarão à mercê dos acontecimentos? A chave para o sucesso de um programa de segurança das informações reside em tomar uma posição preventiva contra as ameaças e riscos de segurança, reduzindo os pontos vulneráveis para evitar que estas fraquezas sejam utilizadas contra a sua organização.

A maioria das empresas ainda não considera a segurança de suas informações um investimento prioritário - embora, curiosamente, geralmente dependam totalmente dela para operar e sobreviver

Antes de mais nada, é preciso deixar claro que segurança da informação não gera receita, reduz custos ou traz inovações. Profissionais da área de segurança da informação estão sempre sob a constante pressão de ter que demonstrar que projetos de segurança produzem retorno sobre investimento (ROI), ou seja, que a execução de projetos de segurança da informação trará algum benefício financeiro para a empresa. Entretanto, a natureza das atividades relacionadas à segurança da informação fazem com que projeções financeiras desse tipo tornem-se, no mínimo, difíceis de serem realizadas. A atual moda entre fornecedores de equipamentos e prestadores de serviço relacionados à segurança da informação é de que projetos nessa área geram retorno claro sobre seu investimento. Adicionalmente, a lógica imediatista sugere que agora que a segurança da informação está ganhando ampla aceitação como um importante aspecto do negócio, o próximo passo seria haver algum tipo de cálculo ou projeção de ROI que justifique seu investimento em termos negociais. Se os empresários (ou patrocinadores de um projeto de segurança da informação) passarem a adotar esse conceito e começarem a falar de um ROI em segurança, eles contarão com algo que simplesmente não existe em sua essência. ROI diz respeito a receitas e economia de custos que podem ser quantificados ou explicitamente especificados. Em contraste, o "ROI" referenciado por muitos vendedores de soluções de segurança é baseado em dados imaturos e benefícios não quantificáveis. Os resultados esperados são geralmente calculados com base na prevenção de alguns futuros eventos hipotéticos que, se viessem a ocorrer, teriam alguma implicação financeira igualmente hipotética. Os benefícios são muito teóricos e incertos para que as empresas possam levá-los a sério como justificativa de investimento por si só. Para a maioria dos projetos em segurança da informação, é simplesmente impossível quantificar antecipadamente um ROI financeiro. Portanto, as organizações devem reagir com ceticismo a cálculos ou modelos de ROI divulgados por vendedores de soluções em segurança que não sejam substanciados por uma rigorosa pesquisa anterior, personalizada de acordo com o contexto de cada organização.

Segurança da informação não gera receita, reduz custos ou traz inovações e para a maioria dos projetos nessa área é simplesmente impossível quantificar antecipadamente um ROI financeiro

Portanto, atrelar ROI ao processo decisório relacionado à projetos de segurança não é a abordagem adequada, simplesmente porque não deve-se investir em segurança da informação tendo como objetivo ganho financeiro (a exemplo de como quando se investe em um modelo mais moderno de equipamento, que será capaz de produzir mais enquanto consome menos energia que o modelo anterior) mas, ao contrário, para se impedir que o ganho financeiro que a empresa obtém a partir de sua atividade fim não fique comprometido devido à ocorrência de um incidente de segurança que tenha comprometido as informações de que necessita para conduzir seus processos de negócio. Nesse sentido, felizmente a maioria das organizações já está ciente de que ignorá-la poderá resultar na interrupção de seus negócios, perda de receita, perda da confiança dos clientes internos (funcionários) em seus departamentos de TI e desvalorização de sua imagem junto ao mercado. Logo, 'Qual será o retorno sobre o investimento?' é simplesmente a pergunta errada a ser feita antes de se executar um projeto de segurança (até porque as empresas não devem considerar toda despesa como sendo um investimento). Muitos gastos com segurança da informação são imprecindivelmente necessários e até mesmo requeridos por lei, mas nem sempre são investimentos que produzirão um retorno quantificável. Ao invés de gerarem dividendos financeiros quantificáveis, eles reduzem a exposição da empresa à eventos que poderiam trazer prejuízos (ou mesmo paralisação total dos processos de trabalho). Por isso, o Grupo META aconselha vendedores de soluções e empresas a empregarem o método de análise baseada na relação "custo/benefício", que baseia-se em 3 classes de benefícios esperados:

	Casos em que o ROI financeiro pode ser de fato quantificado em termos de economia de custos, onde benefícios claros de produtividade são substanciados por dados suficientes (por exemplo: implantação de um sistema de administração automatizada de controle de acesso de funcionários que elimina a necessidade de gastos com pessoal e recursos materiais dedicados a esse fim, proporcionando economia clara e mensurável - além do aumento da segurança em nível de acesso, evidentemente).
	Redução de riscos quantificáveis obtidos através de uma metodologia de risco formal (por exemplo: minimização ou eliminação de vulnerabilidades explícitas e que colocam informações vitais da empresa sob perigo facilmente identificável e constante).
	Benefícios que são inquantificáveis em termos financeiros mas que podem ser claramente definidos em termos qualitativos (por exemplo: integridade e estabilidade das informações transportadas ou armazenadas através da rede local ou capacidade melhorada da empresa de responder de forma rápida e adequada à acidentes de segurança que possam vir a ocorrer).

Todos esses benefícios tem consequências financeiras, mas é difícil quantificá-los antecipadamente. Uma vez que benefícios (ao invés de retorno financeiro ou dividendos) sejam esperados como o objetivo fim do investimento em projetos de segurança da informação, eles podem ser analisados em termos de 3 níveis de valor esperado:

Contínuos (ajudam a manter o estado atual e seguro das operações da empresa)

Adicionados (otimizam os processos de trabalho atuais da empresa, incluindo produtividade)

Novos (capacitam a empresa a inovações relacionadas à como proteger seus dados)

Infelizmente, a maioria das empresas que investem em segurança da informação gastam o precioso orçamento destinado a essa área na implementação de medidas táticas - ao invés de aplicá-lo em medidas estratégicas. Com muita frequência, mais tempo é gasto investigando-se brechas e incidentes do que arquitetando soluções de segurança que os evitem, configurando-se um firewall ao invés de definindo-se um perímetro de segurança flexível e seguro, reagindo-se a ataques de ex-funcionários ao invés de criando-se procedimentos adequados para seu desligamento. Segurança estratégica, assim como todas as outras áreas de TI, deve ser ampla e holística. Para alcançar este objetivo, as organizações devem iniciar com uma estrututura de políticas básicas sobre a qual todas as outras áreas se apoiarão. Para ser efetiva e eficaz, todos os componentes de um programa de segurança estratégica devem aderir a essa estrutura. Sem isso não há nenhum programa - mas apenas resposta tática.

Infelizmente, a maioria das empresas que investem em segurança da informação gastam seu orçamento em medidas corretivas e táticas - ao invés de aplicá-lo em medidas preventivas e estratégicas

Adicionalmente, aos empresários cabe lembrá-los que buscar a segurança utilizando seus próprios recursos internos é algo problemático, pelo fato de que sempre estarão correndo atrás dos próprios problemas. Afinal, a segurança das informações não é atividade fim da maioria das empresas e alguns já descobriram o preço alto da perda do foco de seu core business... Contratar um profissional especializado ou uma consultoria externa, que tenha uma visão abrangente do tema, é sempre a melhor opção. No entanto, mesmo estando cientes de seus benefícios, muitos empresários evitam isso porque acham que o valor despendido em projetos de segurança da informação é muito "caro". Mas quanto custa para uma empresa a perda de dados e informações críticas que possa provocar enormes prejuízos ou até mesmo levá-la à paralização total (tais como perda da base de clientes, controle de vendas e estoque, contratos, e-mails etc.)? Qual o custo do retrabalho que deverá ser executado para recuperá-los (se isso ainda for possível)? Seria possível recuperar totalmente, frente aos clientes e fornecedores, a má impressão causada por um incidente de segurança que tivesse provocado lentidão, cancelamento ou erros em determinadas transações?

Então? Você esperará que um incidente de segurança ocorra para se convencer de que investir na segurança de suas informações é um excelente negócio?

Não deixe que incidentes de segurança coloquem seu negócio em risco! Proteger suas informações é mais simples e barato do que você imagina... A Faustini Consulting oferece soluções de backup práticas, rápidas, fáceis de usar, realmente econômicas e moldadas de acordo com suas necessidades. Conheça nossas soluções de backup personalizadas.