Segurança da Informação é um tema estratégico na gestão de negócios interferindo diretamente nas atividades rotineiras, resultados, planejamento e principalmente na reputação e sobrevivência das empresas, sendo assim essencial um planejamento adequado de budget de Segurança da Informação, independentemente de seu segmento de atuação. 

Esta responsabilidade está diretamente ligada aos líderes de tecnologia, que geralmente precisam planejar o budget de Segurança da Informação com a avaliação de seus recursos e a medição da efetividade de seus programas de segurança para validar suas forças, fraquezas e ameaças. Em muitas empresas os CSOs e os CISOs respondem diretamente ao CIO porque esse investimento faz parte do departamento de TI.

O momento de aprovação do budget de Segurança da Informação envolve algumas idas e vindas entre compor o budget e a sua aprovação. E aí vem o desafio, em como priorizar e defender o investimento!

Como está a segurança da sua empresa agora?

Se você perguntasse aos profissionais de TI o que mais lhes causa estresse em seus trabalhos muitos provavelmente diriam que é a segurança digital.  A pergunta “Como está a segurança da minha empresa agora?” muitas vezes tira o sono dos gestores.

O cenário realmente preocupa. As ameaças continuam a se expandir ainda mais agora com as novas regulamentações os riscos de violações se multiplicando ao mesmo tempo que a profundidade dos ataques está cada vez mais complexo.

Os dados são a força vital da nova economia digital e a sofisticação dos criminosos que procuram explorar isso está em constante evolução. A violação à privacidade e vazamento de dados é hoje a maior ameaça de ataques cibernéticos que podem impactar o ambiente organizacional.

Com tudo isso não é de se estranhar que a segurança da informação tenha sido a área de maior aumento orçamentário em 2018 e que muitas organizações planejam aumentar seu budget de Segurança da Informação em geral para o próximo ano.

Entender que a segurança digital é extremamente importante parece até um pouco óbvio, mas como isso realmente impacta no seu planejamento de orçamento de TI para 2019? Como definir o budget de Segurança da Informação?

Por onde começar

O primeiro passo é ter visibilidade de seu ambiente organizacional, e para isso é importante fazer um teste de vulnerabilidades. Criamos um quiz para te ajudar a decidir qual o melhor teste de vulnerabilidade para o seu ambiente:

[interact id=”5bfee015ed0ee20013b7535c” type=”quiz”]

Considere também ter um inventario de seus ativos, obtendo assim uma “fotografia” dos recursos atuais. Isso pode incluir ferramentas, profissionais e processos.

Com estes insumos é possível aplicar métricas que possam determinar a quantidade de eventos de segurança sofridos pela empresa. Isso vai ajudar a saber quais recursos estão disponíveis, o que precisa ser implementado e o quais as medidas foram bem-sucedidas no combate as ameaças e ataques. Esse conhecimento permite priorizar o budget de Segurança da Informação para áreas especificas que estejam vulneráveis por exemplo.

Segundo os especialistas do Gartner, as mudanças na segurança cibernética vão requerer novos tipos de habilidades para fazer frente às ameaças. Além disso, eles reforçam que não é possível controlar tudo de forma igualitária, por este motivo é necessário priorizar o que é mais importante.

Eles reforçam ainda, que o budget de Segurança da Informação deve ser distribuídos equitativamente entre a prevenção e a detecção e resposta — já que não é possível conter todas as ameaças, mas é necessário saber como superá-las.

É de extrema importância que programas de segurança possam ser adotados no ambiente organizacional, contemplando um ciclo de melhoria contínua, que siga as etapas de identificação, definição, proteção, resposta em todo o ciclo de vida dos dados.

Seguir as orientações para estar em Compliance com as normativas, é também um excelente motivador para direcionar seus investimentos, além de minimiza o risco de perda financeira e reputação de seu negócio.

Determinando o ROI

Um dos pontos cruciais na defesa do budget de Segurança da Informação, é o retorno que ele traz para o negócio. O investimento em segurança pode trazer vários tipos de retorno, que podem ser financeiros, de imagem, adequação às normas e regulamentações, que caso não seja realizada acarreta um passivo em conformidade, melhorias no ambiente profissional e outras situações benéficas para a organização.

Mas o mais importante é calcular, qual o valor da perda para o negócio, caso o investimento não seja realizado. Organizações podem ter seus negócios finalizados se estivem envolvidas em caso de perda de reputação.

Tecnologia não é tudo

Pessoas, processos e tecnologia precisam andar juntos para que a Segurança Digital seja efetiva. É importante considerar estes três pilares na defesa do seu investimento, através da estruturação de um Programa de Segurança da informação que contemple minimamente avaliação de vulnerabilidades, atualizações de segurança, monitoramento de ameaças, sensibilização e treinamento de segurança, ferramentas tecnológicas de segurança e processo de melhoria contínua.

É valido considerar que assim como Cloud Computing e Software-as-a-Service (SaaS) estão ajudando as empresas a reduzir despesas operacionais, outras tecnologias também podem ajudar as empresas com esse propósito.

É preciso tomar cuidado, no entanto, para não deixar o budget de segurança da informação muito focado em tecnologias. Com a LGPD, é necessário tomar as devidas medidas proativas que envolvem ações relacionadas à Segurança Digital e Cibernética que contemplam o ambiente organizacional, processos, tecnologia e pessoas, que desempenham um papel importante na efetividade do programa de segurança. Além da adequação referente a atualização de contratos, termos de uso e políticas de privacidade. Saiba mais sobre o que privacidade tem a ver com Segurança da informação.

Os líderes de segurança precisam ter métricas que comprovem a efetividade de seu programa de segurança. Esses dados permitem tomar decisões de negócio sobre o valor de áreas específicas de investimento e fazer não necessariamente o maior investimento, mas o que for melhor para que sua empresa e sua respectiva operação precisam para se manter no mercado com segurança.

Tenha uma visão 360º da segurança da sua organização

Como já foi dito antes, apenas através da visibilidade do que acontece no seu ambiente organizacional, que envolve os três principais pilares pessoas, processos e tecnologia, é possível otimizar e priorizar o budget de Segurança da Informação.

Estabelecendo um Programa de Segurança da Informação, é possível ter otimização das tarefas do dia-dia, priorização do que é necessário dar atenção, pessoas engajadas com a evolução da maturidade em Segurança da Informação em sua Organização. Além da facilidade de comunicação entre os diversos níveis hierárquicos de atuação e decisão dentro do ambiente organizacional.

Se você quer saber como criar um programa estruturado de Segurança da Informação, consulte nosso Checklist e saiba como implementa-lo em sua organização.

Como a IBLISS pode ajudar?

A IBLISS oferece sua plataforma de gestão integrada, além de programas de segurança customizados para empresas de todos tamanhos:

Plataforma GAT

• Gestão dos processos de segurança
• Catalogação de riscos e vulnerabilidades de forma integrada
• Gestão de auditoria de fornecedores
• Gestão da conformidade com a regulamentação
• Criação de planos de ação e acompanhamento
• Visibilidade centralizada de indicadores

Risk & Compliance

• Assessment do atendimento aos requisitos da resolução
• Análise do nível de maturidade da organização em segurança da informação
• Elaboração dos planos de ação para correção e mitigação dos riscos
• Definição da política de segurança cibernética, do plano de resposta à incidentes, do processo de gestão de vulnerabilidade, entre outros.

Cyber-Protection

• Gestão de Vulnerabilidades: identificação recorrente de vulnerabilidades, triagem, classificação e priorização das correções
• Gestão de baseline: homologação de procedimento de configuração segura para ativos e sistemas, e identificação recorrente
• Monitoramento contínuo de ameaças e threat intelligence

Hacker as a Service

• Testes de invasão para identificar vulnerabilidades no ambiente organizacional
• Auditoria de fornecedores
• Exercícios Red Team para validar o processo de monitoração e plano de resposta à incidentes

Application Security

• Revisão de maturidade do processo de desenvolvimento em segurança
• Revisão dos controles da aplicação
• Automatização de testes de segurança
• Definição de requisitos de segurança para desenvolvimento e contratação de software
• Adoção do ciclo de desenvolvimento seguro de software

Education

• Definição do programa de conscientização
• Criação de campanhas: cartilha, gincana, pílulas de segurança
• Avaliação periódica de colaboradores por disparos de phishing e quiz
• Auditoria de senhas
• Testes de engenharia social para validar a efetividade do programa
• Palestras e Workshops de conscientização por níveis de conhecimento