0
0
Com a conversa sobre uma possível recessão se aproximando (se já não houver uma), muitas empresas já estão aplicando um nível mais alto de escrutínio aos gastos – mesmo para custos críticos para os negócios, como segurança cibernética. À medida que os orçamentos começam a diminuir, os líderes de segurança e TI precisam antecipar as discussões com os líderes executivos e começar a preparar proativamente um caso de negócios formal para seu programa de segurança para garantir o financiamento de projetos futuros.
Em última análise, seu caso de negócios precisa “vender segurança” para a equipe de gerenciamento. Isso é realmente tudo sobre a construção de confiança . Talvez o erro mais comum na construção de casos de negócios de segurança seja o uso do alarmismo. Embora o número crescente de violações e o crescimento de ataques de ransomware possam ser pontos de dados válidos a serem incluídos, alimentar o medo não demonstra o valor da segurança cibernética. “ Se não fizermos essa atualização de segurança, seremos hackeados, sofreremos grandes perdas e/ou violaremos os requisitos de conformidade ”. Esses são argumentos fracos – e tudo o que eles tendem a fazer é incomodar a equipe de gerenciamento porque sentem que estão encurralados sem entender nenhum dos benefícios tangíveis do que está sendo proposto.
Os CISOs e CIOs devem manter algumas dicas importantes em mente à medida que avançam em futuros ciclos orçamentários e começam a criar casos de negócios para seus programas de segurança.
Trabalho em equipe faz o sonho funcionar
A segurança é um esporte de equipe — e um dos primeiros erros que vejo nos casos de negócios de segurança tem a ver com os requisitos de recursos humanos. Os grupos participantes fora da segurança geralmente são deixados de fora da fase de planejamento. Se você não envolver todos os principais atores de apoio no início do processo, eles podem não ser capazes de apoiar o projeto no momento da implementação porque não tiveram a chance de fornecer informações valiosas ou alocar a capacidade e os recursos necessários quando necessário.
Isso é especialmente importante quando se trata da equipe de TI. No passado, a segurança e a rede funcionavam amplamente em seus próprios domínios. Mas à medida que as infraestruturas evoluíram e se consolidaram, há mais interdependências entre segurança e rede do que nunca. As equipes de TI e as equipes de segurança precisam trabalhar juntas desde o início ao criar um caso de negócios. Isso também significa trazer a equipe de endpoint, pois muitas equipes de segurança precisarão de um cliente instalado no endpoint, o que significa que o arquiteto de TI precisará estar envolvido para ajudar a orquestrar as outras equipes.
Conecte a segurança à estratégia de negócios abrangente
Ao escrever qualquer caso de negócios, você precisa conhecer seu público – no que eles estão trabalhando agora, quaisquer problemas em potencial que você possa ajudá-los a resolver e quaisquer mudanças potenciais nos negócios no horizonte. Os objetivos de segurança precisam ser sincronizados com as metas mais amplas do negócio, bem como com as mudanças importantes nas quais a segurança pode melhorar os resultados.
Isso pode incluir fusões e aquisições (M&As) – onde a segurança deve desempenhar um papel crítico em todas as etapas. Pode incluir questões legais sobre privacidade do cliente, expansão para uma nova região global ou fornecer a um parceiro estratégico acesso controlado à propriedade intelectual. Ou pode incluir mudanças repentinas no status de lucros e perdas (P&L) da empresa. Pode até permitir a habilitação mais rápida de novas organizações, melhor identificação de riscos ou melhor integração geral.
Revise seu projeto e decida sobre os benefícios mais poderosos. Lembre-se de que a ordem de prioridade é: (1) geração de receita, (2) economia de custos e (3) redução de custos.
Para obter esse tipo de compreensão interna do que a gerência executiva está amplamente tentando alcançar, os líderes de segurança e rede precisam participar regularmente das reuniões da equipe executiva. Essa fundamentação estratégica pode ajudá-lo a apontar para o impacto positivo que a segurança tem em:
- Permitindo agilidade — uma experiência de usuário perfeita, permitindo que os negócios se movam na velocidade do mercado e garantindo que decisões críticas possam ser tomadas com base nos dados mais recentes.
- Controle de custos — analisando o custo total de propriedade ( TCO ) da segurança, mantendo a eficiência operacional e otimizando seus gastos na nuvem.
- Gerenciando riscos — protegendo ativos críticos, garantindo estabilidade e resiliência e treinando seu pessoal para serem melhores cidadãos digitais.
Os líderes de segurança e rede também devem apresentar atualizações de status regulares para relatar o progresso atual, educar sua equipe de gerenciamento e definir expectativas de recursos avançados para ciclos orçamentários futuros. Certifique-se de que você não está falando apenas sobre o que está fazendo este ano, mas também sobre as coisas que estão por vir no próximo ano. Esse ciclo de feedback ajudará a construir alianças com as partes interessadas da administração – encontre-se com eles, analise seus planos e comunique como seu plano apoia os planos deles.
Inclua os pontos de dados certos
Outro erro comum é extrair um volume esmagador de dados que pode não significar muito para o público no final do dia. Por exemplo, muitos cálculos de expectativa de perda anual ( ALE ) podem ser óbvios — além disso, eles geralmente são construídos com base em suposições difíceis de quantificar.
Os líderes de segurança e rede precisam escolher cuidadosamente as métricas que importam para os negócios. Uma maneira de fazer isso pode ser comparar seu programa com o que seus concorrentes estão fazendo. Uma avaliação anual pode ajudá-lo a demonstrar o desempenho do seu programa hoje e destacar as áreas em que ele pode estar aquém dos concorrentes ou das práticas recomendadas do setor.
Você também deve tentar incluir “métricas inteligentes” – o que significa usar números que vinculam uma conquista a um benefício comercial. “ Bloqueamos um milhão de tentativas de phishing ” pode parecer impressionante, mas é um número meio vazio porque não tem contexto de negócios. Mas se você disser: “ Respondemos a 20 incidentes em 120 minutos no mês passado, cinco dos quais direcionados a sistemas críticos de negócios ”, isso conta uma história melhor sobre o valor da segurança para as operações principais e a rapidez com que você conseguiu resolver os problemas.
Mostre-lhes o dinheiro
As justificativas mais fracas para a segurança são a prevenção de custos e a conformidade. Criar um caso de negócios para governança pode ser particularmente complicado sem recorrer ao alarmismo.
“ Somos obrigados a cumprir os padrões PCI ” ou “ Nosso concorrente foi multado em X por violar as regras do GDPR .” Embora os requisitos legais e regulamentares possam ser fatos relevantes, eles não transmitem um valor mensurável positivo para a administração.
No entanto, se um de seus principais clientes exigir contratualmente conformidade com PCI ou uma parte significativa de suas vendas vier por meio de parceiros baseados na UE onde o GDPR é obrigatório, a história é diferente. Muitos clientes terão requisitos de segurança para fazer negócios com sua empresa, para que sua equipe possa legitimamente reivindicar a responsabilidade de ajudar a obter ou reter esses ganhos.
Talvez a melhor maneira de mostrar o valor monetário da redução de risco seja falar sobre isso como “aumento da receita” – segurança como um centro de custo que ajuda a trazer dinheiro para a organização. Certa vez, conversei sobre orçamento com o CEO e o CFO e minha abertura foi dizer que minha equipe gerou US$ 800 milhões em receita no ano anterior. Isso chamou a atenção deles. Quando você reformula a conversa de segurança como apenas mais um centro de custo para um centro gerador de receita, funciona.
Mas também é importante considerar se você pode fechar o ciclo de revisão quando o projeto estiver concluído. Um ano após a aprovação do orçamento, você precisará fazer uma revisão posterior que avalie se a organização está vendo os benefícios propostos do investimento. Se o seu caso de negócios superestimar o valor do projeto, solicitações futuras podem ser tratadas com ceticismo.
Vendendo segurança no mercado de um comprador
Mais cedo ou mais tarde, toda empresa questiona seus gastos com o objetivo de eliminar custos. No momento, a segurança deve estar no final da lista de itens de linha em que as organizações optam por cortar o financiamento. Mas você não pode presumir que os líderes de negócios entenderão inerentemente o valor mais amplo da segurança quando cada unidade de negócios pode estar justificando desesperadamente sua pegada orçamentária.
Um caso de negócios eficaz para segurança precisa ser fundamentado no que é importante para sua organização. Isso significa que você precisa de uma compreensão interna do que a empresa está fazendo e como a segurança será um facilitador essencial desses objetivos. E requer alguma construção de relacionamento de longo prazo para garantir que a administração entenda todos os impactos positivos que seus projetos causarão na organização – agora e no futuro.
FONTE: HELPNET SECURITY