As empresas estão investindo cada vez mais em segurança. Segundo o Gartner, em 2018, as organizações vão gastar US$ 96 bilhões em produtos e serviços de segurança, mas será que esses investimentos vão de fato ajudar a reduzir o impacto das ameaças? Infelizmente, em muitos casos, não é isso que acontece.
No Brasil, a ascensão dos ataques cibernéticos tem impulsionado os investimentos em segurança da informação. O país, segundo um estudo divulgado pelo IDC no início deste ano, é alvo de parte significativa dos ataques cibernéticos e, junto de Argentina e México, é um dos países com maior número de ataques detectados por ano. A evolução dos ransomwares é um dos fatores que levou a um aumento de 10% a 12% dos orçamentos dedicados à segurança.
De acordo com o estudo do IDC, a maioria das empresas brasileiras está investindo, principalmente em soluções antimalware e servidores de segurança para pontos terminais, bem como em áreas relacionadas à segurança móvel e em firewall. Apesar de o investimento na adoção de novas tecnologias de segurança ser um passo importante, existe uma grande controvérsia relacionada ao ROI de algumas dessas ferramentas em determinados ambientes.
Por incrível que pareça, mesmo que boa parte dos líderes de segurança contem com alguns indicadores chaves de performance para monitorar e medir as atividades da sua área, não contam com um processo ou uma abordagem para medir a efetividade dos controles de segurança, o que pode levar a uma série de equívocos e a um ambiente lotado de soluções que pouco agregam valor, tornando a infraestrutura de TI ainda mais difícil de gerir e proteger.
Um estudo divulgado pela Varonis no último ano confirma isso, revelando que 76% dos profissionais de segurança creditam o nível de maturidade de sua estratégia de segurança a investimentos em ferramentas individuais. Investir em uma estratégia de soluções pontuais de segurança, no entanto, pode até mitigar algumas ameaças específicas, mas, sem que haja um uso mais tático, o ROI desses produtos acabar sendo baixo.
Os benefícios de calcular o ROI do ambiente de segurança
Uma das maneiras de garantir um maior ROI na infraestrutura de produtos de segurança é contar com uma abordagem baseada em métricas, focada em justificar investimentos. Dados recentes mostram que poucas empresas calculam o ROI de seus controles de segurança.
O cálculo do ROI e o oferecimento de métricas relevantes vão dar ao líder de segurança a possibilidade de enfrentar a difícil posição de ter de explicar que a causa de uma violação de dados foi a falta de um controle específico que foi cortado do budget, por exemplo.
Ao incorporar mais análise de dados e evidências empíricas, por meio da análise de incidentes de segurança e ameaças combatidas no cotidiano – acompanhadas do impacto que teriam se não tivessem sido detidas –, é possível demonstrar a efetividade dos programas de segurança. Mais do que apenas juntar dados de invasões, é essencial relatar o valor obtido na linguagem dos executivos, ressaltando o que a empresa poderia ter perdido em termos de negócio, como perda de propriedade intelectual, roadmaps de produtos e informações sensíveis de clientes e funcionários, e danos permanentes à reputação.
Além disso, é importante destacar que, muito mais importante do que investir em tecnologias de segurança, é fundamental estar atento ao nível de visibilidade do ambiente. Você sabe onde estão seus dados sensíveis? Sabe se eles estão classificados de forma apropriada? Sabe quem tem acesso a eles? Sem essas informações básicas do que deve ser protegido, é praticamente impossível entender quais são as soluções que vão dar mais suporte à sua estratégia de segurança, o que, consequentemente, vai acabar gerando um ROI preocupante.
* Carlos Rodrigues é vice-presidente da Varonis para América Latina
