Dias atrás um gerente de TI nos falou que tinha muita dificuldade em justificar qualquer “gasto” em Segurança da Informação para a diretoria da empresa…
A pergunta dele era como calcular o ROI (retorno do investimento) em SI?
Ele não conseguia justificar para o diretor financeiro o investimento em uma ferramenta de gerenciamento de eventos de segurança, os chamados SIEM.
Sabemos que na prática o diretor financeiro não está interessado em qual tecnologia tem em determinado SIEM ou no novo firewall, ou se o antivírus tem a última inovação em inteligência artificial, etc…
Ele só quer saber quanto isso vai custar.
Mas o gerente de TI sabia que esse projeto era importante.
Nos últimos meses o ambiente de infra-estrutura se tornou híbrido, ou seja algumas coisas foram para nuvem e agoram conversavam com servidores internos “on-premisse”.
Também contrataram um novo CRM na nuvem e agora tinha integração com ERP, entre outos sistemas.
Então isso tudo ficou muito mais complexo gerenciar e monitorar.
A equipe dele estava às cegas com eventos de segurança e de operação.
As vezes olhando logs internos, outras vezes logs na nuvem, as vezes olhavam logs do firewall, outras do webserver apache, e por ai vai.
Não conseguiam ter visibilidade total do ambiente, sem contar que precisavam ter controles de autenticação de usuários, performance de aplicações, etc…e acabavam sendo reativos aos problemas.
Bom, essa pergunta sobre ROI, os especialistas de segurança tem tentado a responder há tempos…
A resposta mais curta é: não tem como calcular o ROI em Segurança de Informação.
Como assim não tem como calcular? Como justificar a grana que vou investir nisso?
Vamos consider que ROI são os ganhos que a empresa terá sobre algum valor investido, assim imagine um cenário…
Digamos que a empresa compre uma máquina e essa máquina produza X peças por dia.
Então basicamente calculamos por quanto cada peça será vendida e quantas peças são vendidas por dia…aí saberemos quanto tempo levará para pagar a máquina que foi comprada. Claro, isso é um cálculo bem simplista.
Bom, usando a mesma lógica do ROI, em SI teríamos que calcular quantas invasões ou ataques a empresa teria, qual o prejuízo que cada incidente desses custaria para a empresa, quanto custaria para resolver, etc…
Aí teríamos o valor do prejuízo e assim hipoteticamente poderíamos calcular o ROI da ferramenta que a empresa está adquirindo, mas mesmo assim seria só uma hipótese, não há dados para validar isso.
Digamos que a empresa investisse em uma novo antivírus corporativo e não ocorra nenhum problema sério de infecção ou vazamento de dados por exemplo….utilizando a abordagem do ROI a empresa não obteve nenhum ganho com o investimento.
Então qual a melhor abordagem?
A melhor abordagem é pensar baseado no Risco.
Como assim Risco?
Ok, imagine quando você vai fazer o seguro do seu carro…
A seguradora pergunta qual a sua idade, o CEP da sua casa, se você usa o carro para trabalho, se você usa o carro para faculdade, se o seu carro é guardado na garagem ou fica estacionado na rua, e por aí vai…
Com esses dados a seguradora pesquisa se o bairro onde você mora tem histórico de roubo de carros, qual a quantidade de acidentes na sua faixa etária, etc…e calcula o valor do seguro baseado no risco…
Com isso a seguradora consegue estimar o risco de sinistros e calcular o preço da apólice.
Imagine que você fez o seguro do seu carro, então durante aquele ano não aconteceu nenhum sinistro, e é claro que você não precisou acionar o seguro.
Se pensarmos como ROI, retorno do investimento, você teve prejuízo, ou seja, você pagou o seguro mas não usou.
Mas é claro que isso está errado…com o seguro do seu carro você não obteve lucro nem prejuízo…você reduziu o risco.
Em Segurança da Informação é bem parecido…
Digamos que estamos comprando um novo firewall para proteger algum perímetro, como o banco de dados ou webserver por exemplo.
Então precisamos considerar um cenário baseado em uma Matriz de Risco, onde é necessário identificar quais as ameaças (hackers, vírus, sabotagem interna, etc), estimar o impacto que a empresa teria caso o banco de dados ou servidor web ficasse fora do ar por alguma invasão ou ataque DDoS, qual a severidade, ou seja quanto tempo demoraria para tudo voltar ao normal, quando tempo parado para voltar backups, etc.
Com isso a empresa tem um cenário do risco envolvido naquele ativo de TI que se quer proteger.
Assim você pode optar por reduzir o risco, investindo em tecnologia, treinamentos e processos ou até mesmo aceitar o risco.
Mas o pior cenário é não ter indicadores para mostrar para a diretoria, pois se acontecer algum incidente, aí é muito pior justificar e pode custar muito mais para consertar ou custar o emprego de alguém.
Na grande maioria das vezes o “gasto” com segurança, se torna mais barato do que o impacto gerado por não se ter considerado o risco e investido para proteger.
Dizemos em SI que não temos como acabar com a ameaça, ela sempre vai existir, não dá para acabar com os vírus por exemplo…mas podemos mitigar o risco.
Esperamos que este post tenha trazido alguns insights para você. Bom trabalho!
Nota: esse post é uma interpretação livre dos artigos da LGPD. Não deve ser tomada como uma consulta legal e/ou recomendação legal e/ou consultoria jurídica. Sempre consulte a área jurídica da sua empresa, advogado ou consultor jurídico para adequar a LPDG à sua empresa.
PS: Se você é Gerente de TI ou analista e está envolvido com Cyber Segurança na sua empresa, temos uma lista exclusiva com Boas Práticas e Procedimentos que NÃO publicamos no blog. Se quiser receber esse material exclusivo por favor deixe seu email abaixo: