0
0
ROI e Planejamento dos Investimento de Segurança. Veja os principais componentes e como calcular.
Um dos grandes desafios dos Security Officers em grandes e médias empresas é justificar o investimento em hardware, software e consultorias especializadas, justificando um retorno sobre o investimento (ROI – Return on Investiment) realizado.
Sabemos da dificuldade de se determinar valor para os investimentos de segurança, pois ainda em muitas empresas a área de Segurança da Informação é vista como uma área de custo operacional e não efetivamente como geradora ou influenciadora nos resultados financeiros.
Talvez o que faltr é um modelo de plano, que atenda às necessidades de segurança da informação, facilitando a adoção de uma estratégia orientada ao market-share, e que torne evidente a importância da segurança da informação como valor diferencial nos negócios da empresa, auxiliando na captação de novos clientes, fornecedores e parceiros e na redução de perdas e riscos operacionais.
Duas das maneiras bem conhecidas e utilizadas pelo gerentes de segurança da informação para o cálculo do ROI são as análises de custos por incidente (individualizada por evento), e a análises de custos acumulados (geralmente mensal ou anual). Este cálculo serve para apresentar o retorno aos acionistas, apontando o resultado líquido dividido pelo resultado sem as perdas observadas.
Single Loss Expectancy – SLE
A primeira destas técnicas é chamada de Single Loss Expectancy (SLE). O cálculo do SLE mensura em termos financeiros o impacto de um incidente.
Single Loss Expectancy (SLE) é cálculo que o impacto de um incidente em termos financeiros
Para início devemos listar todos os ativos (tudo aquilo que é importante para a organização) e identificar as ameaças e vulnerabilidades existentes. Não devemos esquecer de potencializar o valor do risco pela importância do ativo no contexto da organização (por exemplo, o computador utilizado pelo estagiário não tem a mesma importância que o do gerente de financeiro, mesmo que o hardware seja igual).
Para isto uma a análise utilizando a metodologia do BIA (Business Impact Analysis), utilizada comumente na confecção de planos de continuidade de negócio, pode ser de grande ajuda.
O índice resultante desta avaliação é o famoso BITMAP (Business and Information Technology Map) – para unidades de negócio, e AMAP (Asset Map) para os Ativos.
Para o cálculo do SLE vamos considerar que uma empresa possui um sistema proprietário desenvolvido e destinado a uma área de negócio qualquer, no nosso caso vamos considerar o departamento de compras.
Este sistema foi desenvolvido internamente e consumiu 200 horas de 5 analistas de salário de R$5.000,00. Considerando que no Brasil temos um sobre custo de funcionário em média de 2.1 vezes o salário, teríamos aqui um custo de R$10.500,00 , ou aproximadamente R$52,50 por hora.
Assim nosso custo sistêmico seria de :
200 (numero de horas) x 5 (quantidade de analistas) = 1000 horas de desenvolvimento
R$52,50 (custo hora) x 1000 (horas de desenvolvimento ) = R$52.500,00
Se ocorresse uma interrupção nos serviços deste sistema devido a uma vulnerabilidade ou a um ataque hacker, o prejuízo diário da indisponibilidade total do ativo sistêmico, sem considerar os custos processuais da atividade envolvidos, seria igual ao custo do sistema, ou seja, R$52.500,00
Poderíamos ainda acrescentar no cálculo acima o impacto financeiro direto de fatores como imagem, multas contratuais, custo por não efetivação de negócios e outros.
Com isto já teríamos alguns parâmetros da possibilidade de um incidente ocorrer para avaliar e justificar o investimento em ferramentas que possam proteger estes sistemas.
Annualized Loss Expectancy – ALE
O segundo modelo que pode ser utilizado para o ROI é o cálculo baseado em incidentes percebidos ao longo de um período.
Annualized Loss Expectancy – é o cálculo do impacto financeiro de eventos ocorridos em um determinado espaço de tempo.
Annualized Loss Expectancy = SLE x Número de ocorrências durante um ano
Neste modelo de cálculo trabalhamos em cima de realidade bastante comum em organizações que já possuam algum tipo de métrica de eventos de segurança. Assim, aqui vamos utilizar o ambiente de internet e o seu consumo inadequado pelos profissionais da empresa (por exemplo perdas de tempo em mídias sociais e outras conexões consideradas desnecessárias aos negócios)
Vamos imaginar o seguinte cenário:
- Uma empresa com 1000 funcionários;
- 100% possuem acesso à internet sem restrições;
- Cada funcionário “gasta” 1/2hora por dia em acessos desnecessários ás suas funções.
- O custo/hora médio de cada profissional é de R$20,00
Assim teríamos o seguinte cálculo:
1000 (funcionários) x 5 (hora por dia – 5 dias na semana) x 44 (semanas no ano) = 220.000 horas/ano
R$ 20,00 (custo de 1hora) x 220.000 (horas) = R$ 4.400.000,00
Temos então R$4.400.000,00 reais perdidos anualmente.
O cálculo desconsidera custos com a utilização da banda de internet e possíveis riscos organizacionais como vazamento de informações.
Tangibilidade
Todo este cálculo de nada servirá se não transformarmos os resultados em algo tangível para a empresa, por isto para melhor resolver esta necessidade vamos dividir em três partes:
Análise de Risco
A análise de riscos faz um reconhecimento das vulnerabilidades existentes no ambiente macro da organização. Esta análise permite que os esforços sejam focados nos pontos que se demonstram mais vulneráveis. Muitas vezes são identificados canais ilícitos de escoamento da informação, que prontamente podem ser eliminados.
Implementação de Controles
A implementação de controles de segurança indicados e analisados na primeira fase permite um retorno visível do investimento realizado. Deste momento em diante os investimentos planejados e priorizados em uma estratégia de crescimento gradual já pode ser equalizados considerando o contexto de segurança.
Manutenção
A última parte é manutenção do projeto. Nesta fase ocorre um ganho circunstancial de market-share em função do diferencial criado à imagem da empresa no mercado (confiabilidade). Há também uma redução crítica de incidentes e o risco finalmente é minimizado pela continuidade do processo e pelo desenvolvimento da curva de experiência dos funcionários.
A chave para o sucesso no planejamento do ROI é o planejamento sistemático alimentado por informações coerentes e convenientes.
FONTE: MINUTO DA SEGURANCA