Grande parte das empresas líderes em seus segmentos baseiam seus orçamentos nas capacidades atuais, ajustando de forma gradual para encaixar necessidades geradas por novos crescimentos. Para serviços tradicionais, existentes no mundo desde os tempos antigos, isso funciona perfeitamente bem. Pense no seguinte cenário: são necessários três contadores para acompanhar os processos de 3 navios, então quando são adicionados mais 10 navios, você precisa de mais 10 contadores. Por outro lado, o moderno campo da segurança da informação necessita de uma abordagem diferente. Independente do segmento do negócio, observamos empresas tentando melhorar suas capacidades de segurança de forma gradual, baseando-se nos orçamentos passados e na necessidade atual. Normalmente, isso é um grande erro.

A segurança da informação foi amplamente ignorada pelos executivos das empresas pela maior parte de sua existência. No melhor cenário, as empresas selecionam uma percentagem do orçamento de TI e continuam a revisitar essa percentagem ano após ano, sem considerar o cenário de ameaças da empresa. No pior cenário, o investimento é determinado apenas de forma reativa, onde as capacidades de segurança foram construídas ao longo de uma série de reações e soluções pontuais à incidentes e problemas de caráter mais urgente. Ao invés de instituir um orçamento para uma estratégia específica para mitigação de risco, as equipes de segurança acabam brigando por qualquer orçamento que permita melhorar alguma fraqueza existente de forma pontual. Não existe um plano de longo prazo. O orçamento simplesmente não é racionalizado a partir dos maiores riscos da empresa, ou, se existe um plano, ele é desenvolvido de forma reativa a um incidente.

Felizmente, nenhum outro setor da sua empresa opera o orçamento dessa forma. A prática mais aceita hoje é a partir de uma abordagem que mensura o risco. As empresas estão mais cientes do que nunca sobre os riscos de segurança e todos os problemas, de diversas ordens, que eles podem trazer. Então agora é o momento de você puxar aquela planilha do zero e listar os seus gastos correntes de segurança. Então de forma cuidadosa, construa uma estratégia de longo prazo e um orçamento que sirva para mitigar os riscos relacionados às especificidades de seu negócio.

“Apenas 18% dos profissionais de segurança acreditam que a segurança de suas empresas está em um nível maduro”
Estudo Global 2015 sobre Investimentos e Gastos em Segurança da Informação – Instituto Ponemon

Por onde começar?

Elabore uma lista com os Top 10 riscos para a área de negócios da sua empresa. Análises de institutos de pesquisa como Ponemon, KPMG, PwC e outros podem ajudar. O investimento também deve se basear na maturidade da estratégia de segurança. Uma segurança madura conterá 4 elementos chave: habilidade para prever capacidades e táticas dos criminosos, defender quando possível, detectar o que passar e responder aos incidentes de forma rápida e satisfatória. Como as brechas de segurança são inevitáveis, não é mais possível operar sem aplicar uma inteligência de segurança para identificar as atuações criminosas, antecipar como eles querem operar dentro de seu sistema e removê-los rapidamente. Finalmente, para ser efetivo, cada uma dessas capacidades necessitam de pessoas com experiência em segurança, seguindo processos e controles definidos.

A estratégia de segurança da informação de sua empresa é organizada e possui os recursos necessários para seguir adiante? Senão, você possui mais motivos do que nunca para começar um novo processo e pensar na elaboração de um orçamento a longo prazo.