Organizações gastam uma média de 5,6% do orçamento geral de TI com segurança e gerenciamento de riscos de tecnologia da informação, segundo dados recentes do Gartner. Entretanto, esse montante varia de 1% a 13% do orçamento de TI, representando potencialmente um indicador incorreto do sucesso do programa.
O mais preocupante, de acordo com o Gartner, é que, até 2020, a maioria das organizações continuará a usar incorretamente os valores de gastos com segurança de TI como um indicador para avaliar a postura dessa área.
O alerta do instituto de pesquisas é que sem o contexto das exigências de negócios, da tolerância ao risco e dos níveis de satisfação, a métrica de gastos com segurança de TI em relação ao orçamento total da área não proporciona, por si só, informações comparativas válidas que devem ser usadas para alocar recursos de tecnologia da informação ou de negócios.
Além disso, as estatísticas de despesas com TI isoladas não medem a eficácia da TI e não são medidores de sucesso. Elas fornecem simplesmente uma visão indicativa dos custos médios, sem considerar complexidade ou demanda.
A recomendação do Gartner é de que os líderes de segurança das empresas identifiquem o orçamento real de segurança. O que acontece, geralmente, é que os gastos explícitos com segurança são divididos entre hardware, software, serviços (terceirização e consultoria) e funcionários. Entretanto, todas as estatísticas sobre essas despesas são implicitamente “leves” porque elas minimizam a magnitude real dos investimentos de empresas nessa área de TI, considerando que esses recursos estão sendo incorporados em hardware, software, atividades ou iniciativas não especificamente dedicadas à segurança.
A experiência do Gartner indica que muitas organizações simplesmente não têm conhecimento do seu orçamento de segurança. Isso ocorre, em parte, porque poucos sistemas de contabilização de custos dividem esse tema como um item separado e muitos processos de segurança relevantes são executados por funcionários que não se dedicam a essa área em tempo integral, tornando impossível considerá-los com precisão para a equipe. Na maioria dos casos, os Chief Information Security Officers (CISOs) não têm percepções sobre o gasto com esse assunto dentro da companhia.
Para identificar o orçamento real de segurança, há vários fatores que devem ser observados, como o equipamento de rede que está integrado às funções de segurança, a proteção de desktop que pode estar inclusa na estimativa de suporte do usuário final, os aplicativos da empresa, os serviços de segurança terceirizados ou gerenciados, os programas de privacidade ou continuidade de negócios e os treinamentos que podem ser financiados pelo RH.
De acordo com o Gartner, empresas protegidas podem, às vezes, gastar em segurança menos que a média prevista no orçamento de TI. As companhias com menor despesa, que representam 20% do total, são compostas por dois diferentes tipos de organizações: as não seguras que gastam pouco e as seguras que implementam as melhores práticas para operações de tecnologia da informação e de segurança, o que reduz a complexidade geral da infraestrutura de TI e trabalha para diminuir o número de vulnerabilidades.
Segundo a visão do Gartner, as companhias devem investir entre 4% e 7% de seus orçamentos de TI em segurança: menos se já possuírem sistemas sólidos e mais se estão muito abertas e em risco. Isso representa um orçamento sob controle e responsabilidade do CISO e não o total ou “real”.
Para demonstrar o devido cuidado com segurança da informação, primeiramente, as organizações precisam avaliar seus riscos e entender tanto o orçamento dessa área do CISO quanto o orçamento “real” de segurança encontrado na variação complicada de contas que podem não capturar todo o gasto.
