Um dos maiores desafios dos gestores de segurança é transformar para a linguagem de negócios o retorno que o investimento em sua área pode trazer
Uma das tarefas mais desafiadoras dos gestores de segurança da informação é transformar para a linguagem de negócios o retorno que o investimento em proteção de dados pode trazer às empresas. Os impactos, que podem extrapolar o lado financeiro e recair sobre a imagem ou adequação às normas e regulamentos de uma organização, muitas vezes não são suficientes para convencer que o monitoramento constante dos dados é necessário para manter a saúde dos negócios.
Geralmente é preciso se basear em métricas financeiras, similar a outros investimentos da organização. Para isso, o Arcon Labs, equipe de inteligência da Arcon que analisa tendências e ameaças, e que promove estudos, recomendações, normas e padrões técnicos com a finalidade de manter o alto padrão de segurança dos seus clientes e da prestação de serviços, reuniu três passos que podem ajudar no processo:
1- Correlacionar as perdas futuras com o investimento atual na proteção de dados
Situações em que uma perda real financeira está ocorrendo são mais fáceis de mensurar. Porém, o gestor de segurança muitas vezes é responsável por prever algo futuro e precisa trabalhar com informações incompletas para calcular a expectativa de perda anual em problemas de segurança da informação e em relação ao retorno do investimento sobre a proteção dos dados.
Apresentar cálculos estimados de ganhos e prejuízos nas receitas da companhia é um bom caminho. Se pensarmos na terceirização do serviço, os números tornam-se mais palpáveis: segundo o Arcon Labs, a instalação de um centro de operações de segurança próprio pode chegar a custar milhões para uma empresa, além do investimento em infraestrutura e o custo de pessoal.
Ao terceirizar a segurança com a adoção do modelo de serviços gerenciados, ou seja, o monitoramento constante e em tempo real das ameaças, as empresas podem optar por camadas de segurança de acordo com suas necessidades e direcionar o valor do investimento.
2- Envolver as áreas de negócios nas discussões
Muitas vezes as discussões dos investimentos em segurança ficam restritas à área de tecnologia. Vivemos em um mundo e em uma economia globalizada. Foi-se o tempo em que as decisões sobre a segurança da informação eram de responsabilidade apenas da TI.
Hoje toda a empresa deve ser envolvida, inclusive para ter a dimensão real dos impactos do não-investimento na área ou na terceirização do serviço, assim como a adoção de posturas reativas.
Um exemplo simples para ilustrar é o uso de um antivírus. Se a empresa não investe neste tipo de proteção e ocorre um incidente, é interessante apresentar às demais áreas o quanto a companhia gastaria com a interrupção dos serviços, custo com um especialista para reativar o ambiente de trabalho e ações de recuperação, além do tempo versus custo até a volta dos serviços à normalidade.
3- Apostar na segurança como diferencial e inteligência competitiva dos negócios
A segurança já deveria ser observada com mais cuidado devido às dimensões que vem ocupando dentro das organizações. Proteger os ativos da sua companhia tem relação com o gerenciamento de riscos, resiliência dos negócios, redução de custos e aumento da competitividade.
A abordagem proativa, adaptativa e orientada a processos, e o olhar para a proteção de dados como um elemento vivo também se aplica quando falamos em retorno sobre o investimento. O gestor de segurança deve continuar reforçando que investir em proteção de dados é essencial como o instinto de sobrevivência, pois garante a continuidade do negócio e pode até colocar a empresa à frente dos seus concorrentes.
As empresas devem assumir, sem medo, que podem ser invadidas e que compartilham deste cenário de insegurança, independentemente do seu segmento ou porte. Também devem admitir que a segurança da informação é um investimento que, cada vez mais, faz parte das soluções de negócios e está inerente à cultura e à governança das empresas.