Um dos grandes desafios dos gestores de segurança em relação à segurança da informação está relacionado à aprovação do budget. Muitas vezes, o CEO, ou o conselho executivo, não consegue visualizar a importância de investir na gestão preventiva da segurança da informação em todos os seus aspectos (físicos e lógicos). Isto pode acontecer por falta de profundidade do conhecimento técnico para compreender plenamente os riscos que a empresa corre e, portanto, desconhecimento dos investimentos que precisam ser feitos, ou pela falta de habilidade do CISO/CSO em traduzir o risco técnico de segurança para uma linguagem mais palatável de negócios.

.

Por outro lado, a responsabilidade final por qualquer violação de segurança acaba caindo na mesa dos gestores de segurança. Sendo assim, como o CSO pode comunicar os riscos de segurança para o conselho e justificar o orçamento que está solicitando para proteger o negócio?

A seguir, veja 3 dicas para mobilizar o board executivo da sua empresa em relação à segurança da informação:

1 – Mostre casos de ataques em outras empresas

Uma excelente maneira de sensibilizar os executivos para convencê-los a decidir pelo investimento é mostrando casos de empresas (de preferência do mesmo ramo de atuação) que sofreram ataques. Se possível, mostrar números, cifras de prejuízos causados por invasões de sistemas, danos de imagem etc. Infelizmente, pela falta de uma legislação brasileira que obrigue a divulgação de incidentes de segurança nas empresas do país, temos de recorrer aos casos de fora do Brasil.

Muitas vezes, casos como do conglomerado de entretenimento Sony, que no final de 2014 teve centenas de e-mails confidenciais, filmes e outras informações importantes divulgadas, pode não mexer com a empatia de quem toma a decisão – eles podem pensar que isso só acontece em grandes empresas.

2 – Mostre que a segurança é também parte da estratégia/diferencial de vendas da empresa

Esta dica, num primeiro momento, pode parecer voltada para os e-commerce, porém não se aplica somente a este modelo de negócio. Obviamente, as lojas virtuais lidam com informações confidencias dos clientes (transações financeiras, entre outras) e necessitam estar disponíveis e com boa performance 100% do tempo para evitar perdas nas vendas, porém outros tipos de negócios também estão sujeitos a ataques que podem dificultar a estratégia comercial.

Identifique nos processos da equipe de vendas, quais atividades podem ser afetadas com ataques, lentidões ou indisponibilidades de sistemas etc., e como isso pode afetar diretamente o negócio, as vendas, o atendimento aos clientes e até mesmo a imagem da empresa. É interessante conversar com os gestores dos principais processos, levantar dados de volumes e valor envolvidos nos processos, por exemplo, e tentar identificar qual o impacto de um incidente neste ambiente. Muito embora fazer uma análise de riscos completa seja sempre recomendável, muitas vezes uma análise mais direta e focada em processos e sistemas chaves pode gerar as informações necessárias para sensibilziar os executivos.

3 – Mostre o ROI

A melhor linguagem a ser usada para justificar o investimento em segurança, é claro, demonstrar o valor que ele trará ao negócio, ou seja, o retorno sobre o investimento (ROI). Todos os outros departamentos fazem isso, e com o departamento de segurança não deveria ser diferente. No entanto, o investimento em segurança é notoriamente difícil de justificar em termos de ROI. Muitos executivos preferem apresentar a segurança com um “seguro” que está sendo contratado. Mas, para gestor de segurança, é sempre válido o exercício de buscar o ROI, ele ajuda a validar a decisão sobre a aquisição de determinada tecnologia ou serviço, e ainda facilita a defesa do projetos junto aos demais executivos. A boa notícia é que hoje há muita informação online sobre o tema.

Gostou destas dicas? Compartilhe sua opinião ou tire suas dúvidas deixando um comentário abaixo!

Fotolia_46072355_Subscription_XXL.jpg