Calculo de ROI sobre projetos de segurança

Post disponível em / disponible en / available in: Português Español English

Tempo de leitura: 6 minutos

Existem projetos de segurança da informação dos mais variados tamanhos e orçamentos, e quanto maior a maturidade das empresas no tema, maior seu controle sobre as variáveis que asseguram a viabilidade de um projeto. O budget é importante, mas não necessariamente restritivo.

No entanto, se analisarmos um mercado de pequenas e médias empresas, que também necessitam de segurança, adequada aos seus negócios, há uma dificuldade maior em viabilizar esse tipo de projeto, pois o retorno muitas vezes não é materializado adequadamente pelos membros da equipe a frente dos projetos. Como não existem métricas, a avaliação de ROI fica realmente muito prejudicada.

Por conta disso, nesse post traremos uma introdução ou reflexão de alguns itens que podem ser utilizados por gestores de tecnologia, facilitando a aprovação dos orçamentos, como base na viabilidade econômica dos mesmos.

Por que segurança da informação?

Talvez uma das primeiras perguntas a ser respondida está associada as razões pelas quais as empresas precisam de segurança da informação. Os motivos são diversos e também complementares.

Muitas empresas compram segurança pela necessidade de adequação a exigências regulatórias e outras conformidades exigidas pelo setor onde atuam. Nestes casos, o valor da segurança está bem enraizado na necessidade de proteger as informações, tanto no armazenamento, manipulação e trânsito.

Isso significa que para alguns segmentos, como o caso de instituições financeiras, há uma pressão natural do mercado que força com que os processos e a maturidade em segurança da informação (que dentre muitas coisas o tangível é o dinheiro) sejam maiores, tanto para proteção, quanto disponibilidade das informações.

Para empresas de logística ou varejistas, onde o negócio é bastante distribuído, provavelmente o pilar de maior destaque tratado nos projetos seja a disponibilidade das informações, especialmente entre unidade e matriz, pois é natural que os sistemas de gestão, informações de estoque, validação de crédito, e tantos outros recursos, sejam validados pela infraestrutura da matriz.

Uma visão bastante diferente pode se dar com médias e pequenas empresas, onde a maturidade de segurança quanto a confidencialidade e integridade da informação não é tão evidenciada, ou os riscos e prejuízos decorrentes de um vazamento, não são aparentemente relevantes.

Para estas empresas, a segurança da informação pode estar muito mais relacionada a produtividade dos colaboradores ao utilizar a internet, evitando que tempo o tempo seja empregado em sites ou conteúdo não relacionado ao propósito do negócio. O produto ou projeto de segurança, portanto, tem uma finalidade de disponibilidade de internet, de visibilidade de acessos e eventuais controles flexíveis que diminuam gargalos de produtividade associados ao uso inadequado da rede.

Claro que nosso objetivo aqui não é abordar todos os motivos pelos quais segurança da informação é importante, mas somente trazer um overview que o mesmo produto de segurança, ou o mesmo projeto, vai atender expectativas diferentes dependendo do tipo de negócio, e saber disso é extremamente importante para definir as métricas que serão utilizadas para o cálculo de retorno de investimento.

Quanto custa o mau uso da internet?

Realizamos um post somente tratando desse assunto, que você pode visualizar clicando aqui. Mas de maneira resumida, você precisa de critérios claros de quanto custa o mau uso da internet, seja por conta da falta de controle, seja pelos problemas associados à distração por conteúdos não apropriados, que acabam afetando a produtividade.

Essa pode ser uma métrica fundamental para justificar a viabilidade de um projeto de segurança cujo principal objetivo é aumentar a produtividade, ou primeiramente conhecer aquilo que é acessado, para definir os perfis adequados de uso que atendam a expectativa da empresa, e também dos colaboradores.

Quanto custa a hora de um colaborador parado?

Para empresas que tem uma estrutura administrativa grande, sem diretrizes adequadas de contingenciamento de equipamentos, é natural que um colaborador possa ficar impedido ou prejudicado de realizar suas atividades por indisponibilidade de seu equipamento.

As razões da indisponibilidade podem ser as mais diversas, desde um equipamento antigo que quebrou, até mesmo um vírus ou derivado que está inviabilizando parcialmente ou totalmente o executar das funções laborais.

Sabendo da frequência média que isso ocorre por uma fração de tempo, e tendo uma média do valor da hora dos colaboradores, é possível fazer uma estimativa de quanto custa para a empresa um colaborador sem realizar suas atividades por conta de quebra de um equipamento.

Os projetos de segurança, quando bem definidos, devem estabelecer critérios de uso da internet e dos computadores que minimizem o comprometimento dos mesmos com relação a vírus e similares, que podem afetar sua operação.

Quanto custa a indisponibilidade da internet?

Com a convergência de vários negócios para o meio eletrônico, a falta de internet é algo extremamente crítico para muitos negócios.

Quanto maior a dependência que a empresa possui da internet para realizar suas atividades, maior é o impacto financeiro. Pense em quanto tempo sua empresa fica sem internet em um determinado período de tempo e multiplique isso pela média de horas da folha de pagamento.

Os valores, em muitos casos, podem assustar. Por outro lado, também podem conscientizar para que a empresa possua links alternativos, e que realmente é financeiramente viável pagar por eles, até por que eles não precisam ficar parados aguardando um contingenciamento. O ideal é que um link secundário ou terciário esteja em produção assim como o primário, atendendo determinados serviços, e que todos façam contingenciamento entre si em caso de necessidade.

Em negócios que tem alta dependência da internet, a maturidade nesse tema acaba sendo um pouco superior, mas existem muitas empresas que estão cada vez mais dependentes da internet e ainda não se posicionaram para lidar com este tipo de cenário.

Quanto custa uma exposição de informação?

Esse talvez seja o ponto mais complicado, não para negócios que tem altos níveis de maturidade e governança em segurança da informação, mas para a grande maioria das empresas, que se quer consideram a possibilidade de sofrer este tipo de exposição.

Quando ocorre um incidente de segurança em uma empresa que gera exposição de dados de clientes ou similares, é possível fazer estimativas de perdas pela queda de receitas entrantes (comparado aos meses anteriores), mas especialmente pelas saídas de carteira que fatalmente acontecem.

Caso esse cenário já tenha ocorrido em seu negócio, será bastante simples fazer um levantamento dessas informações e trabalhá-las como métrica para avaliar a viabilidade e tempo de retorno em um projeto de segurança da informação.

Conectando os pontos e agregando valor

Existem diversos outros pontos que podem ser considerados, buscamos trazer reflexões fundamentais e que são de mais fácil acesso para auxiliar no processo de elaboração do tempo de retorno do investimento. Fique à vontade para incrementar de acordo com a sua necessidade e a maturidade de seu negócio para segurança.

Esse material foi interessante para você? Conte-nos o que achou e compartilhe com seus amigos e colegas.

Cassio Brodbeck
conteudo@ostec.com.br
No Comments

Post A Comment

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.