Como Justificar Investimentos em Segurança da Informação

Uma das características mais marcantes do povo latino americano, em comparação com outras culturas, é o poder que as emoções têm sobre todas as decisões, tanto na vida pessoal quanto profissional. Claro que todo ser humano é um ser emocional, mas nós latino americanos usamos e abusamos desse critério, mesmo nas questões mais racionais.

Uma consequência interessante dessa característica é que utilizamos a emoção que uma situação negativa gera para nos motivarmos e gerarmos energia interna para a reação. O outro lado dessa moeda é que, enquanto o problema é apenas um risco e não se concretiza, não há uma emoção que motive a ação e com isso temos enorme dificuldade em sermos proativos e nos focarmos em prevenção. Afinal de contas, por que gastar dinheiro para resolver um problema que não existe e que somente pode ou não existir no futuro?

investimento-tecnologia-infraestrutura

Mudar rotinas de trabalho e investir em Segurança da Informação normalmente constituem um choque cultural nas empresas latino-americanas e criar uma cultura de Segurança da Informação é fazer toda a empresa, e em especial a área de T.I., trabalhar em prevenção para resolver problemas que ainda não aconteceram.

Em função de tudo isso, apresento a seguir uma sugestão que pode ajudar bastante. Ela une um conceito preventivo, já aceito pela maioria das pessoas, e uma ferramenta de tangibilização de risco que os profissionais de Segurança da Informação conhecem bem.

O conceito preventivo é o seguro automotivo. Carros possuem um valor financeiro definido e uma coleção de riscos inerentes tais como acidentes, indo desde um arranhão até a perda total, roubo com ou sem recuperação e desastres naturais. A probabilidade dos riscos é variável e razoavelmente previsível, levando-se em conta fatores como hábitos e idade do motorista, periculosidade do bairro onde reside, entre outros. O prêmio do seguro, que é o valor que se paga anualmente para manter o carro segurado, gira em torno de 4% do valor do veículo.

Com todos esses elementos em mãos, isto é, o risco (problemas), o impacto (valor do veículo) e o custo do seguro (prêmio) as pessoas conseguem avaliar com clareza. A decisão da maioria acaba sendo adotar a prevenção e gastar os 4% anualmente para não correr o risco de perder os 100%.

Minha sugestão consiste em encarar a Segurança da Informação como um seguro para o negócio.

Identificar os riscos é a parte mais corriqueira para qualquer equipe de Segurança. Muitas ferramentas de mercado trazem esse tipo de informação, cuja qualidade aumenta muito se adicionarmos uma mensuração de ameaças, através de monitoramento comportamental da rede e do ambiente externo (Security Intelligence).

O custo anual dos projetos e da operação de segurança, pode ser aceitável se for proporcional ao impacto financeiro de um incidente de segurança, haja vista a probabilidade dos riscos se realizarem. Eu sugeriria uma proporção girando em torno de 1%, para ser mais conservador do que os 4% do seguro do carro.

Entretanto falta um número para fechar essa equação: o impacto. Como medir o impacto financeiro de incidentes de segurança em uma empresa e ainda segmentar essa medida para poder aportar mais recursos na proteção dos processos de negócio mais importantes? A resposta vem das metodologias de continuidade de negócios: Fazer um BIA (Business Impact Analysis).

O BIA consiste em uma análise junto aos donos dos processos de negócio, através de entrevistas e questionários, a respeito de quais seriam as perdas financeiras inerentes a:

Uma paralisação do processo de negócio: Está associada ao risco de disponibilidade. Consiste em entender o quanto de faturamento o processo de negócio garante por ano e qual a porção irrecuperável desse faturamento diante de uma paralisação, com perda de vendas ou multa por atraso de pagamentos, por exemplo.

Uma necessidade de retrabalho: Está associada ao risco de integridade, onde informações incorretas podem acarretar reexecução ou verificação e correção das decisões tomadas. Pode ser calculada analisando o volume estimado de retrabalho em horas e multiplicando-o pelo valor/hora médio do departamento responsável.

Uma perda de demanda: Ligada ao risco de confidencialidade. Pode ser extraída dos business cases da área de marketing, considerando-se a anulação de ganhos dos projetos em caso de vazamento de informação onde a vantagem competitiva fique comprometida ou onde haja perda do timing de mercado.

Somando-se esses valores, podemos obter o impacto financeiro estimado para os incidentes de segurança sobre aquele negócio específico dentro do universo de faturamento da empresa.

Do impacto tiramos o que seria um investimento preventivo razoável utilizando o 1% sugerido, que pode variar de acordo com o apetite a risco da empresa. Finalmente a isso juntamos os riscos de violação da Segurança das Informações.

Se apresentarmos o plano de projeto neste formato, trazendo o impacto financeiro validado pelo negócio, os riscos deste impacto se realizar e o valor de 1% do impacto para evitar a perda, o subconsciente dos tomadores de decisão tende a reconhecer essa ponderação já feita tantas vezes ao assegurar bens. Com isso a probabilidade da decisão ser tomada a favor da prevenção e contra o risco é muito maior.

Pense: Diante de um risco de perder cem milhões de reais, você não investiria um milhão por ano para evitar essa perda?

Não me canso de estressar esse ponto: a linguagem da alta administração sempre se dará em termos de negócio e dinheiro, nunca em termos de tecnologia. Ganharemos corações e almas da alta administração à medida que conseguirmos utilizar sua linguagem. Comunicação, como sempre, é tudo.

Um abraço e até o próximo post!

Publicado originalmente em Blog Ticiano Benetti


1 Comentários

Maurício Rocha Bastos
1

Caro Ticiano,
Interessante a comparação com um seguro.
Talvez um ingrediente que falte nos cenários do dia a dia sejam mais cenas de desastres que se aproveitaram de falhas da segurança da informação, assim como ocorrem com os relatos em torno de acidentes automobilísticos.
Saudações e parabéns pelo artigo.
Maurício.

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!