Como Investir e Definir um Orçamento em Cibersegurança?

(Tempo de Leitura: 5 min.)

Sabemos que poucas empresas têm um vasto orçamento para investir em TI e, menos ainda, em segurança cibernética. Infelizmente, esta não é a realidade para a maioria das organizações no mundo. Basta pensar que vivemos em um mundo de pequenas e médias empresas, que normalmente são definidas como empresas com até 250 ou 500 funcionários.

Na Europa e em países como EUA e Brasil, por exemplo, empresas com até 50 funcionários respondem por cerca de 90% do total das empresas. Independentemente do tamanho da empresa, o desafio é sempre definir quanto gastar e investir em segurança cibernética. Mas uma coisa é certa: é muito mais barato prevenir ataques cibernéticos do que reparar os danos causados por eles quando ocorrem.

Por exemplo, se uma organização for vítima de um ataque cibernético, há danos relacionados à contenção da ameaça. Mas há outra perda ainda maior: danos relacionados à reputação e perda de negócios, seja por não adquirir novos clientes ou por perder antigos.

O fato é que muitas organizações ainda não levam isso em consideração. Hoje em dia, com notícias sobre ataques e violações de dados publicadas quase que diariamente, é preciso investir em soluções de segurança cibernética.

Mas como definir quanto dinheiro deve ser gasto em cibersegurança? E como usar?

Qual é o orçamento médio de segurança cibernética?

Em geral, especialistas dizem que você deve gastar de 10% a 15% de seu orçamento de TI com proteção contra violações de dados e ataques de cibersegurança. De acordo com um estudo da Deloitte e do Financial Services Information Sharing and Analysis, os bancos e outras empresas de serviços financeiros gastam 6% a 14% do orçamento de TI em segurança cibernética. Este é um bom parâmetro considerando que o setor financeiro é uma das áreas mais visadas em golpes e ataques.

Mas essa não é uma resposta simples e completa. Muitos são os fatores que influenciam a criação de um orçamento de cibersegurança, como o tamanho da sua empresa, por exemplo. Aqui estão algumas idéias sobre como planejar e criar um orçamento de segurança para sua empresa.

Como criar um orçamento de cibersegurança

1. Iniciando e definindo seu orçamento

Para começar a criar seu orçamento de segurança cibernética, você precisa fazer um inventário de seus ativos e pensar nas leis e regulamentações do setor que afetam seus negócios. As perguntas a seguir ajudarão a criar a base para seu orçamento.

  • Qual é o tamanho da organização?
  • Qual é a indústria ou setor?
  • Com que tipo de dados ela trabalha?
  • Quais dispositivos e ativos a organização utiliza?
  • Existem leis e regulamentos que afetam a operação e\ou os negócios? Como?

2. Avaliação de processos para criar um orçamento de cibersegurança

Em uma segunda etapa, é preciso entender quais são os processos da organização. Confira algumas perguntas que podem ajudar.

  • Quais são os processos de armazenamento e coleta de dados?
  • Quem são as pessoas envolvidas nesses processos?
  • Existem parceiros (outras organizações) envolvidos?
  • Onde e como os dados são compartilhados e armazenados?
  • Quais softwares e produtos a organização usa?
  • Quais são suas vulnerabilidades?

3. Definir e utilizar um orçamento de segurança cibernética

Depois de responder às perguntas acima, você terá uma visão geral dos pontos fortes e fracos de sua empresa. Ou seja, você saberá o que precisa ser melhor protegido. A questão agora é: mas como?

Nesta fase, você pode até contratar um serviço de análise de vulnerabilidade para ajudar a construir seu projeto. Agora, aqui estão mais algumas ideias que ajudam a determinar seu orçamento de segurança cibernética.

  • Que tipo de solução pode ajudar a melhorar a proteção da organização?
  • Quais são as opções e quanto custam?
  • Quanto tempo vai demorar para implantá-los?
  • Sua equipe está preparada para enfrentar ataques e incidentes?

Agora, você provavelmente tem uma ideia mais clara das necessidades e de quanto custaria ter um pacote completo de soluções de segurança cibernética. Mas sabemos que a realidade é bem diferente, certo?

Para concluir, então, pense nas seguintes questões.

  • Qual é o meu orçamento de TI?
  • Quais são minhas prioridades de segurança?
  • Como posso fortalecer a segurança da minha organização utilizando até 15% desse orçamento?

Estabeleça prioridades e comece a trabalhar. Uma maneira diferente de tentar pensar sobre seu orçamento de cibersegurança é pensar também no retorno do investimento, o famosoROI (Return Over Investment). Para muitas organizações, este é um modelo mais difícil de quantificar, mas ainda é uma boa opção também. Na prática, é preciso definir qual perda financeira seria causada por uma violação de dados ou um incidente. Então, levando essa perda em consideração, você define um orçamento.

Para auxiliar nessa questão, desenvolvemos um E-Book sobre ROI da Segurança da Informação que pode ajudar a justificar e defender seu orçamento, além de demonstrar como a prevenção é mais econômica que a correção.

ROI em Segurança Cibernética

Apresentar o ROI da segurança cibernética é um dos maiores desafios dos gestores de TI e SI nas empresas. Isto ocorre porque o ROI é baseado no ganho financeiro comparado à verba investida, enquanto as soluções de cibersegurança não trazem um aumento efetivo de receita — e sim uma importante prevenção de riscos. Por isso, o valor do investimento em segurança da informação deve ser comprovado a partir de sua capacidade de proteger os ativos do negócio, mitigar riscos e evitar prejuízos de incidentes cibernéticos.

O ROI da segurança da informação é difícil de medir porque não se baseia em ganhos financeiros, mas em prevenção de riscos. Por isso, se o seu objetivo é defender os investimentos em SI, é mais efetivo utilizar um conceito como o RONI: Risk of Non-Investment, ou Risco de Não Investir, em tradução livre. Em vez de estimar os ganhos obtidos com as soluções de segurança, o RONI revela o quanto a empresa pode perder ao se expor às ameaças, se não investir o suficiente para proteger seu ambiente.

Consulte em nosso blog o artigo sobre ROI da Segurança da Informação para ficar por dentro do assunto.

Considerações Finais

Se você não conseguir responder a várias (ou nenhuma) dessas perguntas, provavelmente precisará da ajuda de um especialista. Se você não tem alguém em mente, um provedor de serviços gerenciados (MSP ou MSSP) pode ajudar a gerenciar suas necessidades. É importante que você entenda totalmente o que cada solução pode fazer pelo seu negócio.

Não poderíamos terminar este artigo sem mencionar dois pontos importantes para usar um orçamento de cibersegurança.

O primeiro ponto é a proteção de e-mail. O e-mail é o principal vetor de ameaça. Isso significa que uma grande parte das violações de dados começa com e-mails maliciosos. Então, pense sobre isso.

O segundo ponto diz respeito à conscientização sobre a segurança cibernética. Em outras palavras, sua equipe também deve compreender as ameaças e riscos cibernéticos para prevenir e combater incidentes. Como todo especialista em Segurança da Informação costuma dizer, seu funcionário é o elo mais fraco em sua cadeia de segurança.

Aqui na GAT, desenvolvemos procedimentos, inteligência artificial e aprendizado de máquina para melhorar a segurança das redes, ambientes, aplicações e domínios das organizações e de terceiros, inclusive dados vazados contendo credenciais de acesso a contas de e-mail. Para analisar sua superfície de exposição, comece realizando uma avaliação gratuita, realizando o cadastro no GAT Security Score.

O GAT Security Score coleta dados disponíveis publicamente na Internet (de forma não intrusiva) para dar uma perspectiva externa da postura de Segurança da Informação nas empresas. Os dados são dividos em 4 diferentes fatores de risco que, juntos, formam a base para o cálculo do seu Security Score (Rating ou Pontuação de Segurança).

Nosso algoritmo gera, automaticamente, um Rating de Segurança Cibernética com base na análise da superfície de exposição dos ativos da empresa à Internet pública e, como consequência, a ataques cibernéticos. O sistema entrega uma avaliação do nível de segurança em forma de rating, contendo apontamentos de riscos da empresa, de seus fornecedores e terceiros.

Os resultados podem ser utilizados para a análise do nível de exposição cibernética, análise de risco em terceiros, benchmark e levantamentos para utilização em processos de Due Diligence, Cyber Underwriting e Seguro Cyber, entre outros.

Conclusão

Resumindo, as decisões e o orçamento não podem ser baseados em um jogo de tentativa e erro, ou com medidas tomadas somente depois que uma violação de dados já ocorreu. Em vez disso, é mais sensato tomar algumas medidas preditivas e preventivas para não precisar tomar medidas corretivas, muito mais dispendiosas e que surgem quando já é tarde demais.

Lembre-se de que, ao investir em segurança cibernética, você:

  • Protege sua reputação e a da marca;
  • Reduz as perdas intelectuais e financeiras;
  • Atende aos requisitos legais e às conformidades regulatórias.

Se quiser uma visão mais detalhada sobre as vulnerabilidades as quais sua organização pode estar exposta, solicite uma demonstração de nossa plataforma GAT Core e saiba como podemos ajudar com o programa de Segurança da Informação em sua organização. Solicite uma demonstração gratuita agora mesmo e obtenha visibilidade e controle sobre os riscos cibernéticos que podem prejudicar sua organização.

Você também pode curtir isso:

31 out

Implementação do Framework PCI-DSS

18 abr

Como Atenuar o Risco de Fornecedores

05 abr

Due Diligence Cibernética de Terceiros

Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
contato@gatinfosec.com

Siga-Nos

Linkedin-in Facebook-f Twitter Instagram Youtube

Conteúdo

Links

×