Apesar de as empresas aplicarem 5,6% do orçamento geral de TI, em média, com segurança e gerenciamento de riscos de tecnologia da informação, os gastos variam de 1% a 13% do orçamento de TI. Esses são os dados recentes de métricas-chave de TI do Gartner.

Contudo, o Gartner diz que comparações gerais às médias genéricas do setor não dizem muito sobre o estado da segurança. É possível que se gaste o mesmo que empresas do mesmo setor, mas investindo em coisas erradas e estando extremamente vulnerável. Alternativamente, é factível gastar de forma correta, mas estar propenso a riscos diferentes do que as outras empresas. De acordo com o Gartner, a maioria das organizações continuará a usar incorretamente os valores de gastos com segurança de TI como um indicador para avaliar a postura dessa área até 2020.

Identificação do orçamento “real” de segurança

Os gastos explícitos com segurança são geralmente divididos entre hardware, software, serviços (terceirização e consultoria) e funcionários. Entretanto, todas as estatísticas sobre essas despesas são implicitamente “leves” porque elas minimizam a magnitude real dos investimentos de empresas nessa área de TI, considerando que esses recursos estão sendo incorporados em hardware, software, atividades ou iniciativas não especificamente dedicadas à segurança.

A experiência do Gartner indica que muitas organizações simplesmente não têm conhecimento do seu orçamento de segurança. Isso ocorre, em parte, porque poucos sistemas de contabilização de custos dividem esse tema como um item separado e muitos processos de segurança relevantes são executados por funcionários que não se dedicam a essa área em tempo integral, tornando impossível considerá-los com precisão para a equipe. Na maioria dos casos, os CISOs (chief information security officers) não têm percepções sobre o gasto com esse assunto dentro da companhia.

Para identificar o orçamento real de segurança, há vários fatores que devem ser observados, como o equipamento de rede que está integrado às funções de segurança, a proteção de desktop que pode estar inclusa na estimativa de suporte do usuário final, os aplicativos da empresa, os serviços de segurança terceirizados ou gerenciados, os programas de privacidade ou continuidade de negócios e os treinamentos que podem ser financiados pelo RH.

De acordo com o Gartner, empresas protegidas podem, às vezes, gastar em segurança menos que a média prevista no orçamento de TI. As companhias com menor despesa, que representam 20% do total, são compostas por dois diferentes tipos de organizações: as não seguras que gastam pouco e as seguras que implementam as melhores práticas para operações de tecnologia da informação e de segurança, o que reduz a complexidade geral da infraestrutura de TI e trabalha para diminuir o número de vulnerabilidades.

Na visão da consultoria, as companhias devem investir entre 4% e 7% de seus orçamentos de TI em segurança: menos se já possuírem sistemas sólidos e mais se estão muito abertas e em risco. Isso representa um orçamento sob controle e responsabilidade do CISO e não o total ou “real”.

Para demonstrar o devido cuidado com segurança da informação, primeiramente, as organizações precisam avaliar seus riscos e entender tanto o orçamento dessa área do CISO quanto o orçamento “real” de segurança encontrado na variação complicada de contas que podem não capturar todo o gasto.

Nós da Real Protect sempre levamos uma mensagem aos nossos clientes, mais investimento não significa mais segurança. O segredo está em investir de forma correta, no que o negócio da sua empresa realmente precisa. Você pode conferir aqui como a Real Protect pode lhe auxiliar em seus desafios de segurança.