Tamanho da empresa não deve ser fator significativo, já que pequenos negócios tambmém estão investindo parcelas similares às maiores empresas
Quanto uma organização deve gastar em segurança? A resposta é simples: depende. Fatores como o setor em que a empresa atua, os tipos de dados ou a propriedade intelectual que manipula, os requisitos regulamentares que enfrenta, a complexidade de sua infraestrutura de TI, a probabilidade de ser um alvo de ataques e outros elementos entram em jogo.
A questão mais importante, na verdade, deveria ser: “Como uma organização pode determinar quanto gastar em segurança?” Afinal, o processo que as empresas enfrentam para descobrir suas necessidades de investimento pode ser fundamental para proteger de maneira eficaz seus sistemas e informações.
Pesquisas recentes fornecem algum contexto sobre quanto as organizações estão gastando em segurança. Um levantamento feito pela CIO (EUA) em novembro de 2018 entrevistou 683 executivos de TI em todo o mundo, questionando qual a porcentagem do orçamento total de TI é destinada à segurança. A resposta média foi de 15%, com um quarto das organizações (23%) dedicando 20% ou mais dos recursos.
Conforme os resultados, o tamanho da empresa não parece ser um fator significativo, já que os pequenos negócios, em média, estão investindo parcelas similares às maiores empresas.
Quando solicitados a identificar quais iniciativas serão mais significativas para impulsionar os investimentos em TI em 2019, 40% dos executivos citaram a necessidade de aumentar as proteções de segurança cibernética. A medida foi vinculada ao aumento da eficiência operacional, melhoria da experiência do cliente, aumento dos negócios, transformação dos processos e melhoraria da lucratividade.
Outro estudo, baseado em uma pesquisa da IDG Communications com 664 profissionais focados em segurança em todo o mundo, mostra que quase dois terços das empresas (60%) planejam aumentar os orçamentos de segurança no próximo ano, em uma média de 13%.
Entre os fatores que determinaram prioridade de gastos com segurança estão as melhores práticas (74%), mandatos de conformidade (69%), resposta a um incidente de segurança que aconteceu com a organização (35%), mandatos do conselho de administração (33%), e resposta a um incidente de segurança que aconteceu com outra organização (29%).
Segundo Frank Dickson, vice-presidente de programas de produtos de segurança cibernética da International Data Corp, como regra geral, uma organização deve gastar entre 7% e 10% de seu orçamento de TI em segurança. “No entanto, você pode gastar 15% de seu orçamento de TI em segurança e ainda não atingir o nível que deseja se sua arquitetura for suficientemente complexa ou se os ativos protegidos forem especialmente valiosos”, acrescenta. “Da mesma forma, um gasto de 5% pode ser apropriado.”
Na HITRUST, empresa que fornece gerenciamento de riscos e serviços de segurança, o orçamento de segurança permanece estável ao longo dos anos. “Isso reflete um compromisso contínuo da parte de nossa equipe de liderança em tratar a segurança e a privacidade com seriedade e manter um programa de rigor suficiente”, diz Jason Taule, vice-presidente de padrões e CISO da companhia.
“Como a maioria das organizações, temos uma necessidade contínua de cobrir uma gama mais ampla de ameaças e exposições a riscos, mas ao mesmo tempo estamos percebendo um aumento na eficiência operacional”, acrescenta. “Assim os gastos permanecem neutros no orçamento. Se não fosse pela melhoria da eficiência, os gastos aumentariam ano após ano.”
Para ajudar a determinar quanto a empresa deve gastar em segurança, a HITRUST adotou uma estrutura de controles para definir as políticas, procedimentos e produtos técnicos, administrativos e físicos que precisa implementar.
“Também fazemos o que aconselhamos os clientes a fazer em relação ao monitoramento contínuo e implementamos medidas e métricas para gerenciar nosso programa [de segurança]”, explica Taule. “Isso vai para a governança, já que qualquer decisão de gastar com segurança deve ser acompanhada de feedback que permita à organização validar que está realizando os benefícios pretendidos ou fazer uma correção de curso conforme necessário.”
Segundo o especialista, para descobrir o nível adequado de gastos, as empresas precisam identificar o ponto em que as despesas adicionais geram um retorno em relação à redução de risco. “Esse é o ponto em que as organizações podem demonstrar sua devida diligência, porque este nível é cuidadosamente fundamentado e defensável”, afirma.
Além disso, alguns gastos com segurança são obrigatórios, o que faz com que poucas empresas tenham o luxo de decidir o que gastar por conta própria. A maioria das organizações enfrentam exigências regulatórias, expectativas do cliente ou demandas de parceiros que ditam um nível adicional de gastos.
“Em alguns casos, pelo menos inicialmente, os negócios podem refletir parte dessa despesa em seus preços”, diz Taule. “Mas, eventualmente, todas as exigências, exceto as mais rigorosas, se tornarão coisas que os clientes esperam que as organizações façam.”
Conforme explicitado por Taule, algumas organizações podem valorizar mais a segurança e a privacidade do que outras, talvez até escolhendo isso como uma estratégia de diferenciação dos concorrentes. Como resultado, elas podem optar por investir mais em segurança.
Em um nível básico, a HITRUST responde à questão de quanto gastar em segurança com base na avaliação de riscos rotineiros, regulares e recorrentes. “Se o risco não mudar, não precisamos ajustar os gastos”, revela Taule. “Se concluirmos que estamos expostos a níveis mais altos do que consideramos aceitáveis, precisamos fazer algo a respeito. O importante é enfatizar que a resposta não é estática.”
