Determinar o ROI é um desafio para a segurança da informação em geral. Em algumas empresas, o investimento em programas de conscientização em segurança é justificado pela ameaça constante dos ataques de cibersegurança. Segundo uma pesquisa do Instituto Ponemon, os ataques de phishing, cuja efetividade depende diretamente do usuário, custam US$ 300 mil por ano, principalmente por causa da perda de produtividade.

O estudo, feito com 377 profissionais de segurança, mostra ainda que o custo anual com a infecção de softwares maliciosos chega a US$ 1,9 milhão – que inclui o custo de remediação de uma infecção por malware, por exemplo.

Indo além das pesquisas sobre os custos das violações de dados, existe um grande desafio na determinação do ROI dos programas de conscientização em segurança. Como as empresas podem determinar quanto dinheiro estão economizando com seu programa e quantos riscos estão mitigando?

Cada empresa tem um significado diferente para ROI, portanto, não existe uma única forma de determinar quais são as métricas chave que demonstram o retorno dos programas de conscientização de segurança. No entanto, é preciso ter em mente que um programa de conscientização nada mais é que um outro controle de segurança. Como sua empresa determina o ROI de uma solução de antivírus, por exemplo? E de um novo sistema de controle de acesso? O mesmo processo pode ser usado para gerar o ROI dos programas de conscientização em segurança.

Programas de conscientização em segurança reduzem o trabalho da TI

Outra maneira de determinar o ROI dos programas de conscientização é calculando o tempo do funcionário gasto na remediação de sistemas infectados. Geralmente, quando uma empresa implementa um programa de conscientização em segurança, o número de sistemas infectados costuma cair significativamente, liberando a equipe de segurança para projetos mais importantes e reduzindo custos com mão de obra.

Além disso, enquanto cada solução de segurança tem como foco riscos específicos, um programa de conscientização em segurança ajuda a mitigar vários tipos de riscos – malwares, senhas fracas, scam, links maliciosos, entre outros.