Como mostrar um ROI em gastos com segurança cibernética

Não é fácil justificar os gastos com segurança cibernética com base em ganhos financeiros. Leia dicas sobre como melhorar as probabilidades.

Um dos trabalhos mais difíceis que os profissionais de segurança cibernética enfrentam é convencer os executivos C-suite de que há um retorno sobre o investimento (ROI) real dos gastos com segurança cibernética. Existem maneiras de eliminar a desconexão do ROI entre o C-suite e o departamento de TI, diz o autor do blog de segurança da Hitachi Systems Cybersecurity Budgeting 101: How to Optimize Your Security Spend for Maximum ROI.

Quando se trata de ver um ROI, o autor escreve:

“Com o aumento dos gastos com segurança, os profissionais de TI e segurança se deparam com as melhores e mais recentes ferramentas, tecnologias e serviços de segurança que supostamente ajudam a proteger os ativos críticos de sua organização. Na maioria das vezes, ‘descobrir um orçamento de segurança cibernética geralmente é uma mistura de emoção e adivinhação’”.

Ao trabalhar com um orçamento para segurança cibernética, o artigo sugere fazer as seguintes perguntas:

O autor do post da Hitachi, percebendo que as perguntas são um tanto nebulosas, publicou como elas responderiam às perguntas acima.

VEJO: Relatório de pesquisa de orçamento de TI de 2021: impacto do COVID-19 em projetos e prioridades (TechRepublic )

Saiba o que você está tentando proteger e por quê

Parece que muitas organizações implementam medidas e estratégias de segurança sem fazer um balanço dos ativos digitais da empresa. Isso leva a não ter certeza do que precisa ser protegido e do que é crítico para garantir o sucesso contínuo dos negócios.

Se um inventário interno estiver fora de questão, o artigo sugere que obter “uma avaliação de segurança cibernética de um especialista em segurança independente pode ajudar a descobrir o que existe, por onde começar e como atingir os objetivos da empresa”.

Simplificando, entender por que um gasto com segurança é necessário ajudará a legitimar a despesa, evitar gastos desnecessários e tomar melhores decisões.

Defina seu apetite ao risco

O Institute of Risk Management define o apetite ao risco (em parte) como “a quantidade e o tipo de risco que uma organização está disposta a assumir para atingir seus objetivos estratégicos”.

De acordo com o autor do post da Hitachi, isso significa que as decisões de gastos com segurança devem ser guiadas por:

• Quanto risco os tomadores de decisão estão dispostos a assumir;

• Qual seria o impacto comercial de uma violação de dados; e

• Qual será o custo para alcançar medidas adequadas de proteção de dados.

“O apetite de risco de sua organização terá que ser discutido e definido em colaboração com sua equipe de gerenciamento executivo, Conselho de istração e outros atores-chave, conforme necessário”, explica o post. “Uma vez definido corretamente, seu apetite ao risco pode orientar sua equipe na definição de objetivos claros que apoiarão sua visão e estão alinhados com sua tolerância ao risco.”

VEJO: Política de Gestão de Riscos (TechRepublic )

Alinhe seus gastos com segurança com possíveis perdas

Curiosamente, o artigo sugere algo muitas vezes esquecido pelos departamentos de TI, mas não por aqueles que ocupam o C-suite. “Um dos princípios fundamentais de um orçamento de segurança cibernética eficaz é garantir que o valor gasto em segurança cibernética não supere o impacto monetário que um incidente de segurança cibernética pode ter”, escreve o autor. “Em outras palavras, não gaste mais dinheiro tentando proteger algo que custaria menos para você perder.”

Cuidado com tecnologias de segurança promissoras

Não é difícil ver que é um mercado de vendedores quando se trata de tecnologia de segurança. O software de gerenciamento de informações e eventos de segurança (SIEM) é apontado como uma tecnologia a ser desconfiada. O autor do artigo observa: “Ele (SIEM) geralmente é caro para adquirir e até mesmo um obstáculo maior para configurar e manter”.

Ao decidir entre manter suas operações de segurança internamente ou terceirizar, o tamanho da empresa é obviamente importante. As empresas de porte corporativo terão recursos internos, tempo e orçamento para lidar com a segurança por conta própria. Pode ser melhor para empresas menores contratar provedores de serviços de segurança respeitáveis ​​que tenham experiência e estejam atualizados com as condições atuais e ameaças de segurança.

VEJO: Como lidar com a segurança cibernética em meio a um orçamento de TI apertado (TechRepublic)

Meça a eficácia da sua estratégia de segurança

Lord Kelvin (William Thompson) foi vagamente citado como tendo dito: “Se você não pode medir, você não pode gerenciá-lo”.

De acordo com este State of Cybersecurity Metrics Report, a maioria das organizações não consegue medir a eficácia de sua plataforma de segurança cibernética em relação às melhores práticas do setor e indicadores de desempenho. O autor do artigo da Hitachi sugere que, “Antes de investir partes de seu orçamento em ferramentas de segurança cibernética, tenha a capacidade de medir sua eficácia assim que forem implementadas em sua organização”.

Principais conclusões

O artigo conclui reconhecendo que não há regra de ouro para gastos com segurança cibernética. O autor oferece estas dicas finais:

• Em última análise, os gastos com segurança cibernética serão julgados por sua relevância e eficácia.

• Concentre-se no que é importante para o negócio e o ROI máximo se seguirá.

É importante entender que a segurança cibernética é uma questão humana, não técnica. As necessidades de segurança cibernética são tão individuais quanto cada negócio e otimizadas apenas por meio da intervenção de especialistas humanos.