Apresentar o ROI da segurança da informação é um dos maiores desafios dos gestores de TI e SI nas empresas.
Isso porque o ROI (Retorno sobre Investimento) se baseia no ganho financeiro comparado à verba investida, enquanto as soluções de cibersegurança não trazem um aumento efetivo de receita — e sim uma importante prevenção de riscos.
Por isso, o valor do investimento em segurança da informação deve ser comprovado a partir de sua capacidade de proteger os ativos do negócio, mitigar riscos e evitar prejuízos de incidentes cibernéticos.
Mas como demonstrar esse retorno à diretoria em uma linguagem de negócios?
É o que vamos explorar neste artigo, que ajuda você a justificar o ROI da segurança da informação em detalhes.
Siga a leitura e entenda como defender seu budget de SI.
Nesse artigo falamos sobre:
ROI da segurança da informação x RONI
O ROI da segurança da informação é difícil de medir porque não se baseia em ganhos financeiros, mas em prevenção de riscos.
Por isso, se o seu objetivo é defender os investimentos em SI, é mais efetivo utilizar um conceito como o RONI: Risk of Non-Investment, ou Risco de Não Investir, em tradução livre.
Em vez de estimar os ganhos obtidos com as soluções de segurança, o RONI revela o quanto a empresa pode perder ao se expor às ameaças, se não investir o suficiente para proteger seu ambiente.
Inclusive, existem formas de calcular os prováveis custos e prejuízos causados por essa exposição aos riscos e eventuais incidentes cibernéticos — tornando o argumento em defesa da SI ainda mais convincente.
No caso, os incidentes de segurança podem ser ciberataques, brechas em sistemas, acesso não autorizado, perda de backups e dados, indisponibilidade do servidor, vazamento de informações, etc.
A seguir, vamos entender melhor quais são esses riscos crescentes que justificam o investimento na segurança da informação.
4 riscos de não investir na segurança da informação
Os riscos cibernéticos são reais e se multiplicam em um ritmo mais intenso do que as empresas conseguem acompanhar.
De acordo com o relatório 2019 State of Cyber Resilience, publicado em 2019 pela Accenture, estima-se que as empresas estão sujeitas a 290 ciberataques anuais — um crescimento de 25% em relação a 2018.
A pesquisa ainda mostra que só 59% dos ativos estão de fato protegidos por soluções de cibersegurança, e que 54% das vulnerabilidades levam mais de 16 dias para serem corrigidas.
Por isso, é importante considerar todos os riscos a seguir para determinar um ROI da segurança da informação.
1. Custos de investigação e correção
Assim que ocorre um incidente cibernético, a empresa tem custos imediatos com a análise técnica do evento, identificação da brecha e processos de correção e recuperação dos sistemas impactados.
De acordo com uma estimativa da Accenture publicada na Cybershark em 2018, um único ataque de malware pode custar US$ 2,4 milhões, considerando que o processo de identificação e correção leva cerca de 50 dias.
Esses números dão uma ideia de como incluir os potenciais prejuízos no seu ROI da segurança da informação — ou melhor, no RONI.
2. Perda de produtividade e retrabalho
Quando um sistema fica indisponível por conta de uma falha ou infecção por vírus, por exemplo, os colaboradores que dependem dele perdem várias horas de trabalho.
Isso sem falar no tempo e recursos gastos pela equipe de SI e processos impactados pelo incidente.
Além disso, a perda de dados tem como consequência direta o retrabalho para recuperar as informações essenciais à empresa.
2. Custos legais e regulatórios
Os custos legais e regulatórios dos riscos cibernéticos estão em alta no momento, com a aproximação da vigência da Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil, que exige padrões e políticas de proteção de dados dos usuários.
Quem não se adequar a tempo pode sofrer sanções que vão desde advertências até multas de 2% do faturamento anual bruto ou até R$ 50 milhões por ocorrência.
Nessa categoria de risco, entram também os custos com honorários advocatícios, despesas processuais e ações na justiça por conta de vazamento de dados sigilosos.
4. Impactos na reputação
Finalmente, os impactos na reputação estão entre os danos mais graves dos incidentes cibernéticos e devem ser previstos no cálculo do ROI da segurança da informação.
Isso porque a empresa atingida por uma violação de dados ou falha de segurança que compromete suas informações é vista com desconfiança por clientes, parceiros e investidores — o que afeta diretamente seus negócios.
4 razões para investir na segurança da informação
Agora que você está ciente dos riscos, também precisa entender os benefícios que compõem o ROI da segurança da informação.
Veja algumas boas razões para investir em cibersegurança.
1. Protege seus ativos mais valiosos
Só você sabe quanto pode custar a perda de um único registro de dados ou um acesso não autorizado a informações confidenciais do negócio.
Por isso, seu ROI da segurança da informação deve levar em conta a urgência de proteger os ativos mais valiosos da empresa, desde servidores até bancos de dados e softwares.
2. Reduz as ameaças internas e externas
Investir na segurança da informação é a única forma de mitigar riscos e se preparar para as possíveis ameaças internas e externas.
Ao priorizar o orçamento de SI, a empresa evita surpresas e investe no seu próprio crescimento — além de antecipar possíveis obstáculos para não paralisar em nenhuma hipótese.
3. Fortalece sua reputação e confiabilidade
Uma boa estrutura e políticas adequadas de SI já são requisitos obrigatórios para atrair investidores, clientes e parceiros no mercado.
Por isso, a melhora da reputação da empresa e atratividade para novos negócios deve ser incluída no ROI da segurança da informação.
4. Garante o compliance
Além de proteger a empresa dos riscos e melhorar sua imagem, a segurança da informação também garante o compliance regulatório.
A Lei Geral de Proteção de Dados Pessoais, por exemplo, mudará totalmente a forma de coletar, armazenar e gerenciar informações pessoais, exigindo que as empresas construam uma cultura de segurança sólida.
Como defender seu budget com o ROI da segurança da informação
Mesmo com tantas evidências, justificar o ROI da segurança da informação e aumentar a verba da área é sempre um momento crítico nas empresas, considerando que muitos gestores não enxergam além dos resultados financeiros.
Por isso, você precisa de indicadores e conceitos mais adequados para mostrar o valor da cibersegurança, capazes de tangibilizar os benefícios de curto e longo prazo para a segurança, reputação e maturidade digital da empresa.
O desafio é demonstrar o nível de exposição aos riscos, gravidade dos incidentes e potenciais perdas que as soluções estão prevenindo — assim como os ganhos que essa proteção representa.
Para ajudar você na defesa do budget de SI, preparamos um guia completo para calcular o ROI da segurança da informação com auxílio dos conceitos de Risk Assessment e indicadores como RONI e ROSI (ROI em Segurança da Informação).
O ebook também inclui um exemplo prático de como a plataforma GAT ajuda a monitorar o desempenho do seu programa de segurança da informação, fazer as melhorias necessárias e garantir a alocação inteligente das verbas. Depois de acessar esse conteúdo, você estará muito mais preparado para provar o valor da segurança da informação na sua empresa — e conquistar o budget merecido.
Você também pode curtir isso:
Postagens Recentes
- Desvendando o CAASM: saiba como as aplicações dessa técnica podem blindar sua empresa
- Desvendando o CAASM: entenda o que é a tecnologia e seus diferenciais
- Protegendo a Tecnologia Operacional: Desafios e Estratégias de Segurança.
- Automatize sua Segurança da Informação com o GAT Core
- 6 passos para a Gestão de Conformidade com a LGPD
Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
[email protected]
Siga-Nos
Conteúdo
Links