0
0
O relatório Positive Technologies Cybersecurity Threatscape 2021 revelou que os ataques cibernéticos continuam aumentando no mundo pós-pandemia, aumentando 17% em comparação com 2020. Ransomware continua sendo o malware mais usado pelos atacantes. Com os valores médios de pagamento de resgate subindo impressionantes 82% em 2021, é compreensível por que as preocupações com violação de dados impulsionam os gastos com segurança. As empresas devem ser capazes de demonstrar aos seus clientes e parceiros que possuem medidas de segurança claras e robustas em vigor.
No entanto, pode ser um desafio atribuir um valor monetário preciso a uma violação de dados, o que dificulta a demonstração do ROI sobre os gastos com segurança.
Mude a atitude: Considere medir resultados positivos de negócios
A atribuição de orçamento de segurança com base no custo potencial de uma violação de dados se concentra em uma consequência negativa e nem sempre ajuda a criar um caso de negócios eficaz para investir em segurança.
Em vez disso, as organizações devem se concentrar em como o investimento em segurança pode demonstrar um retorno positivo dos negócios, como estes principais catalisadores para gastos com segurança:
- Vantagem competitiva
- Melhores práticas e garantia do cliente
- Conformidade regulatória
- Auditoria externa
- Obrigação contratual com uma cadeia de suprimentos, licitação ou processo de aquisição
Então, identificamos cinco áreas-chave em que a segurança fornece um resultado positivo para os negócios. Mas eles podem ajudá-lo a maximizar seu orçamento de segurança e demonstrar ROI? Vamos considerá-los um por um.
Vantagem competitiva: Não é mais um caso de negócios para gastos com segurança
Retroceder 10 anos para 2011, quando a Netflix ainda estava alugando DVDs, os funcionários que trabalhavam em casa eram incomuns e as organizações ainda operavam sob a Diretiva de Proteção de Dados de 1995. Naqueles dias, ter aumentado a segurança dos dados pode muito bem ter proporcionado uma vantagem competitiva, especialmente se você quisesse trabalhar com os setores “ricos e paranóicos”, como finanças.
No entanto, isso não é verdade para a maioria dos setores hoje, quando ter segurança robusta de dados foi elevado de ótimo para um indispensável. Boas práticas de segurança são um requisito, portanto, a vantagem competitiva não pode mais ser apresentada como um caso de negócios eficaz para gastos com segurança.
Melhores práticas: Um desafio para quantificar
Podemos, em vez disso, citar as melhores práticas como fornecendo ROI em nossos orçamentos de segurança? As organizações que seguem as melhores práticas certamente poderão proteger sua propriedade intelectual e ativos de dados críticos. Além disso, eles reduzirão significativamente o risco de interrupção em sua continuidade de negócios.
No entanto, pode ser um desafio difícil e demorado para algumas organizações quantificar exatamente o que “melhores práticas” significam para seus negócios. E adotar estratégias de melhores práticas pode exigir um investimento significativo; pode ser caro. Além disso, as estratégias de melhores práticas geralmente estão alinhadas com a estratégia de negócios juntamente com mandatos regulatórios e de conformidade.
Portanto, embora uma estratégia de segurança de dados de melhores práticas envie uma mensagem positiva aos clientes e parceiros, ela apresenta um caso fraco para provar um ROI específico em seu orçamento de segurança.
Conformidade regulatória: um custo comercial
Embora a conformidade regulatória seja certamente um motor para investir em segurança, geralmente é vista como o custo de fazer negócios – não cumpre os requisitos regulatórios e o próprio negócio está em risco.
Regulamentos como o GDPR são intersetoriais, enquanto alguns são específicos do setor, como os regulamentos da Financial Conduct Authority (FCA), os Regulamentos do Tráfico Internacional de Armas (ITAR) e a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA). Ter uma ampla compreensão da conformidade com tais regulamentos não se encaixa no conjunto usual de habilidades de segurança de TI, onde a regulamentação é frequentemente considerada uma razão menos inspiradora para realizar a segurança.
A conformidade pode exigir um investimento significativo – não apenas em tecnologia, mas em pessoas e processos especializados. Por exemplo, uma empresa deve cumprir 12 requisitos operacionais e técnicos para atender ao Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS).
Portanto, a conformidade regulatória geralmente cai no orçamento de negócios, em vez de segurança, e por isso não é útil citar ao tentar provar o ROI em um orçamento de segurança.
Auditoria externa: Geralmente reacionária
E as auditorias externas? Eles podem demonstrar ROI em um orçamento de segurança?
De novo, não. Na maioria dos casos, as auditorias externas são realizadas como uma reação aos regulamentos legais ou aos requisitos do grupo de uma organização, que os atribuem a uma responsabilidade comercial geral. A empresa precisará reagir aos resultados, conclusões e recomendações da auditoria. Quaisquer lacunas exigirão orçamento adicional ou realocado, o que o torna uma responsabilidade comercial. Portanto, embora as auditorias externas possam gerar gastos com segurança, elas realmente não podem ajudar a mostrar ROI em gastos com segurança.
Obrigações contratuais: Os requisitos de segurança são claramente especificados
Agora estamos conversando. Quando se trata de obrigações contratuais dentro de sua cadeia de suprimentos, ou seus processos de licitação e aquisição, a segurança necessária para proteger os dados ou redes de cada empresa será claramente estipulada.
Embora as organizações divirjam na abordagem dependendo de suas estratégias de risco, existem controles de segurança comuns que todas as organizações devem esperar. Isso pode incluir, por exemplo, testes anuais de penetração, avaliações de phishing, auditorias regulares de firewall e um Security Information and Event Management (SIEM) ou Security Operation Centre (SOC) para monitorar eventos e responder a incidentes.
Essas obrigações contratuais específicas e claras facilitam a demonstração do ROI em um orçamento de segurança. Para a maioria das organizações, o ROI pode ser encontrado em três áreas principais:
- Mantendo os contratos de serviço existentes
- Simplificando a integração de novos clientes
- Garantia contínua aos clientes de que eles estão seguindo obrigações contratuais.
Os controles de segurança normalmente exigidos ao trabalhar com um cliente ou fornecedor incluem certificações de segurança e estruturas de segurança da informação, como a ISO 27001, ou sua alternativa mais acessível e alcançável, o padrão de Governança IAMSE, que inclui requisitos GDPR e Cyber Essentials. Nessa nota, se você estiver concorrendo a agências governamentais, Cyber Essentials e Cyber Essentials Plus são imperativos.
Sim, esses controles exigem tempo e investimento financeiro significativos, mas demonstram um compromisso de segurança claro e especificado com o cliente e a cadeia de suprimentos em um ambiente onde é fácil demonstrar um ROI claro e positivo, compensando os valores do contrato com um orçamento de segurança.
FONTE: HELPNET SECURITY