ROI: Dicas de especialistas para justificar investimentos em segurança

Os desafios do ROI em segurança de TI

Nos últimos meses, tive várias conversas sobre a necessidade de justificar os gastos com segurança. Este ano foi difícil para muitas organizações, então os orçamentos de TI geralmente não estão crescendo. Além disso, o dinheiro já alocado muitas vezes teve que ser re-priorizado para atender às necessidades de negócios em mudança. Ao mesmo tempo, executivos e membros do conselho se tornaram dolorosamente cientes dos riscos cibernéticos atuais e do custo de não prestar atenção. Eles esperam que a equipe de TI e os líderes de segurança de TI forneçam pontos de dados sólidos que permitam as decisões de investimento em segurança mais eficazes.

É aí que muitas empresas com as quais converso se deparam com um obstáculo inesperado. Durante décadas, a TI (e a segurança da TI) foi tratada como uma disciplina puramente técnica, e os melhores profissionais técnicos foram promovidos a posições de liderança em TI. Eles podem guiá-lo através de qualquer questão tecnológica sofisticada, mas nem todos falam a língua do 'negócio'. Isso torna difícil para ambos os lados da conversa chegarem a decisões produtivas.

Outro desafio para muitos líderes de TI é a falta de dados factuais em que se possa confiar. Na tecnologia, você trabalha com fatos e possui medições precisas e defensáveis. Por exemplo, você pode relatar o número de incidentes durante um determinado período de tempo ou o tempo necessário para corrigir um servidor vulnerável. Mas como demonstrar o retorno esperado de um investimento em segurança sem entrar no campo das suposições e probabilidades? Isso leva muitos profissionais de TI, inclusive eu, para fora de sua zona de conforto.

Vamos usar essas percepções como uma oportunidade para ver o que existe lá fora.

Os quatro pilares do ROI

Quando tenho a oportunidade de falar sobre investimentos em segurança, seja em pessoas, processos ou tecnologia, sempre tento fazer uma pergunta: Como você acha que isso pode compensar? As respostas variam muito, mas podem ser resumidas em uma ou mais destas quatro categorias:

• Este investimento nos economizará dinheiro ao reduzir custos contínuos.
• Este investimento nos ajudará a cumprir com obrigações contratuais ou regulamentações da indústria ou governamentais.
• Este investimento reduzirá os riscos do nosso negócio (diminuindo a probabilidade, o impacto ou ambos).
• Este investimento nos permitirá buscar novas oportunidades de negócios.

Todos os quatro elementos parecem ser bons motivos para investir. Mas onde cada um deles se encaixa na conversa, e como você junta tudo isso? Vamos olhar cada elemento por sua vez.

Economia de custos operacionais

A economia de custos é uma das medidas mais óbvias de ROI, especialmente quando o CIO ou o responsável pela TI também é responsável pela segurança. Se um projeto permite reduzir o espaço de armazenamento, consolidar licenças ou diminuir o tempo e esforço por meio da automação, você pode calcular os retornos com uma certeza razoável.

A ressalva aqui é entender que isso nunca deve ser o único motivo para o investimento. O principal objetivo da segurança de TI é gerenciar riscos, e você está se prejudicando com qualquer projeto que não comece por aí. No entanto, a economia de custos funciona muito bem como um motivo adicional para investir em algo que reduza um risco que a empresa se preocupa.

Conformidade

As organizações sabem que devem cumprir com as regulamentações relevantes simplesmente para continuar operando. Muitas equipes de segurança de TI aproveitam isso e posicionam novas iniciativas de segurança como essenciais para a conformidade. Não é raro ouvir uma dica como “use a conformidade para financiar suas iniciativas de segurança” em comunidades profissionais ou conferências.

Em geral, é verdade que as regulamentações tentam estabelecer diretrizes mínimas para a segurança de certos tipos de dados ou atividades. No entanto, nenhuma regulamentação pode fornecer um manual universal para proteger seu negócio específico contra as ameaças atuais em um momento particular.

A conformidade pode ser uma maneira eficaz de iniciar uma conversa sobre retorno sobre investimento e chamar a atenção em uma organização menos madura, onde a equipe executiva está menos ciente dos riscos reais. No entanto, é potencialmente um terreno perigoso: Você nunca deve ceder a uma falsa sensação de segurança baseada apenas em marcar todas as caixas de qualquer lista de verificação de conformidade.

Outra armadilha que você quer evitar é criar a percepção de que a equipe de segurança de TI é um “mal necessário” que os executivos tolerarão e até financiarão, mas se livrariam felizmente se pudessem.

Definitivamente, não estou dizendo que você não deve mencionar a conformidade em uma conversa sobre orçamento. Pelo contrário, você deve estar ciente dos requisitos regulatórios atuais e previstos para a sua indústria e jurisdição. No entanto, assim como a redução de custos operacionais, acho que seria um erro depender excessivamente da conformidade como a principal maneira de justificar um investimento em segurança.

Redução de risco

O objetivo principal de qualquer organização de segurança de TI é a gestão e mitigação de riscos. Mas entender os riscos pode ser complicado: Uma vulnerabilidade recém-descoberta é um risco para a sua empresa em particular? Você deve prestar atenção às notícias sobre grupos APT apoiados pelo estado como Lazarus?

A chave é alinhar a gestão de risco de segurança de TI com a gestão de risco empresarial geral na sua organização. Organizações de defesa ou financeiras geralmente possuem uma estratégia de gestão de risco madura e estabelecida, às vezes com um papel dedicado de Chief Risk Officer; se a sua organização tem alguém nessa posição, é com essa pessoa que você vai querer aprender. Mas toda organização está constantemente tomando decisões sobre risco. Frequentemente, essa responsabilidade recai sobre o CFO e o CEO. Acredito que você deve buscar o conselho deles para construir uma estratégia de gestão de risco alinhada e consistente para a organização. Falhar em fazer isso cria trabalho adicional e pode deixar a organização exposta a ameaças reais que a TI ignorou devido à falta de envolvimento empresarial.

Isso nos leva de volta ao desafio com o qual comecei: Como você mede o risco e a economia esperada? Eu nem vou tentar desvendar tudo em uma única publicação; existem livros longos sobre o assunto (aqui está um bom: “How to Measure Anything in Cybersecurity Risk” por Douglas W. Hubbard e Richard Seiersen).

Você terá que confiar na opinião de especialistas para estimar o custo ou risco e o nível de redução. No entanto, isso não significa que você precisa apenas adivinhar. Existe uma abordagem bidirecional para evitar suposições:

• Aprenda por dentro. Aprenda com o seu processo de gestão de riscos empresariais e tente ser consistente com ele. Será necessário estabelecer uma conexão com o C-suite para fazer isso, e você precisará da opinião deles sobre as perdas estimadas.
• Aprenda com o exterior. Veja se existe um grupo ou fórum de CISO relevante que você possa participar para aprender com a experiência de outras empresas. Outra boa fonte é a pesquisa de mercado, como o “Cost of Data Breach Report” do Ponemon Institute, patrocinado pela IBM.

Não complique demais — concorde com uma abordagem e use-a consistentemente. Após alguns trimestres, você será capaz de ver (e comprovar) tendências e poderá ajustar se necessário.

Oportunidade de negócio

É possível que você tenha ouvido falar sobre “segurança como facilitador de negócios” em diversos eventos do setor nos últimos anos. A maioria das pessoas parece concordar que essa é uma ótima ideia, mas não são muitas as organizações que conseguem cumprir essa promessa.

Assim como em outros aspectos do ROI, a comunicação é crucial aqui. Você precisa construir conexões e manter contato com a equipe executiva e os líderes das unidades de negócios. Dessa forma, você terá a chance de tornar a segurança uma parte de cada nova discussão de projeto — e uma parte inseparável do plano de implementação — desde o início.

Uma vez que você não é o proprietário de um novo projeto de negócio, não pode estimar o tamanho do retorno sobre a oportunidade de forma geral. No entanto, não precisa fazer isso. Eu recomendo que se refira a essas novas iniciativas em suas conversas sobre ROI, mas sem tentar fornecer números específicos.

Principais conclusões

Comecei a trabalhar neste post para resumir as minhas conclusões pessoais de todas as conversas que tive este ano sobre o ROI em segurança. Aqui está a minha lista:

• Use seu julgamento e experiência para estimar a mitigação de risco para cada investimento. Não precisa ser preciso; aceite a imperfeição. Lembre-se de que a expertise em gestão de riscos provavelmente existe em outro lugar da sua empresa — tente aprender com essas pessoas e adote a mesma abordagem. Use as ferramentas e os dados disponíveis para você.
• Aprenda a falar a linguagem dos negócios. A segurança não é (apenas) uma questão técnica. Há muito que se pode aprender com o CFO ou CRO e o CEO, e você pode usar essas conversas para ajudá-los a aprender mais também. Construir um programa abrangente de gestão de riscos que englobe riscos financeiros, de reputação e de segurança ajudará sua empresa a se fortalecer em todas as frentes.
• Mantenha as linhas de comunicação abertas com os líderes em toda a empresa. O investimento em segurança pode (e muitas vezes deve) fazer parte de novos projetos e novas oportunidades. Ajude os líderes empresariais a verem a segurança não como um centro de custos, mas como uma iniciativa estratégica.
• Aproveite e equilibre todos os quatro argumentos de ROI. Embora a redução de risco deva ser o ponto de partida, considere sempre como o mesmo dólar gasto pode ajudar sua organização a alcançar conformidade, reduzir custos operacionais e/ou apoiar oportunidades de negócios.