Artigo: como superar as barreiras do investimento em SI ?

Após um período intenso de eventos de tecnologia, que incluiu um Fórum Nacional de Segurança de uma grande operadora de telecomunicações que rodou 5 capitais do país, um Seminário Estadual de Tecnologia no Setor de Saúde e, claro, a Futurecom, muitos insights no tema de Cybersecurity foram levantados. E a conclusão que se chega é que a evolução tecnológica que aponta para o aumento exponencial dos serviços em Cloud, dos dispositivos conectados (IoT – Internet das Coisas) e do uso de Inteligência Artificial (AI) e Big Data, não vem sendo acompanhada pelos devidos investimentos em Segurança da Informação.

Uma pesquisa da Frost & Sulivan feita entre 2015 e 2016 já mostrava que os investimentos em tecnologia no setor de saúde, feitos pelos top 10 players do Brasil, estavam concentrados em Cloud, Datacenter e Big Data – mais de R$ 26 milhões –, contra um pouco mais de R$ 3 milhões em Segurança da Informação. E estamos falando de um setor que em 2017 passou a ser o principal alvo de ciberataques no mundo. O Cybersecurity Ventures prevê que só de ataques de “ransomware” – quando o atacante bloqueia dados críticos de uma empresa e cobra resgate em dinheiro para liberá-los – os prejuízos para as empresas chegarão a US$ 5 bilhões já em 2017.

Mas o mais assustador é que a mesma previsão, feita no primeiro trimestre do ano, apontava para um valor de “apenas” US$ 1 bilhão em 2017, valor esse alcançado sozinho nos ataques do WannaCry em maio desse ano. Em plena era tecnológica fica claro que ainda não estamos maduros o suficiente nesse assunto nem mesmo para prevermos e entendermos o cenário que se desenha.

No Fórum de Segurança tivemos a oportunidade de interagir com centenas de clientes via aplicativo de pesquisa, onde perguntávamos: “Quais são as principais dificuldades em implementar mais segurança na sua organização?”. A resposta que encabeçou a lista em TODOS os eventos, e que também encabeça pesquisas de anuários de Cybersecurity pelo mundo foi: “Falta de orçamento para segurança”.

Essa resposta casa perfeitamente com a conclusão mencionada no primeiro parágrafo desse artigo, ou seja, não se trata de falta de dinheiro para fazer o investimento, e sim ausência de um planejamento suficientemente embasado para suportar e justificar a reserva de verba para esse fim. Isso ocorre principalmente porque Segurança da Informação não é como as demais aplicações de tecnologia, que apresentam investimentos para melhoria de produtividade, redução de custos ou geração de receita. Não existe um Business Plan com retorno de investimento e VPL (Valor Presente Líquido). Nesse caso estamos falando de um gasto cada vez mais fundamental e obrigatório, que é feito para evitar que algo potencialmente danoso aconteça. Ou, que mesmo que aconteça, a empresa esteja pronta para reagir, remediar e se atualizar rapidamente e com o menor prejuízo possível. Além disso, investimentos em segurança podem ser altos, dependendo do nível de evolução da empresa no tema. Uma proposta de atualização geral das proteções pode assustar e deixar confusos e receosos os decisores e aprovadores do projeto.

Se quisermos romper essa barreira que impede que os orçamentos contemplem o gasto necessário para manter as empresas realmente protegidas, temos que atuar de forma estratégica e consultiva. E aqui não estou falando de estratégia de venda ou de venda consultiva. Estou falando de entender a estratégia do negócio do cliente com relação a tecnologia, e de atuar consultivamente ajudando-o a entender onde estão suas maiores vulnerabilidades e traçando um “roadmap” de segurança, que pode levar de 1 a até 5 anos para ser implementado.

Quando um cliente pergunta qual a melhor solução para que ele fique realmente seguro, a verdade é que não existe uma resposta de bate-pronto. Tudo vai depender do seu segmento de atuação, da sua maturidade em segurança, de onde estão suas aplicações mais críticas e, principalmente, faz-se necessário uma análise de vulnerabilidades que leve em conta todo esse cenário. E no desafio de justificar os valores a serem investidos, utilizar os eventos quase que diários envolvendo ciberataques e as cifras bilionárias de prejuízos que mostram que esse tipo de crime já é maior que muitos negócios, pode ser o caminho para tornar mais palpáveis o tamanho dos riscos de não se ter uma estratégia bem definida.

Quantos de nós temos seguros de carro, de casa, de vida, e nunca usamos ou iremos usar? Mesmo assim, por sabermos dos riscos financeiros que perder uma casa pode nos gerar, ou por acompanhar pelas notícias o aumento de roubo de carros, não deixamos de pagar todos os anos para estarmos protegidos.

As empresas que hoje são extremamente avançadas em Segurança da Informação não chegaram nesse ponto do dia para a noite. Em seu suado histórico de, às vezes, quase uma década de evolução, o caminho foi árduo. Mas hoje esse caminho está cada vez mais claro dado a relevância dos incidentes causados por hackers e grupos cyber-terroristas.

Elaborar um Assessment de Segurança para identificar o grau de exposição da infraestrutura a ameaças, de forma que os investimentos em Segurança da Informação sejam direcionados da melhor forma possível é fundamental. Só assim conseguimos avaliar as práticas e políticas de segurança existentes e elaborar um plano de ação alinhado às necessidades do negócio. A partir daí passamos a ter um entendimento da sua situação atual, adquirimos uma base para decisão dos investimentos em segurança, traçamos uma linha de referência para a implementação de um processo de melhoria contínua e geramos dados atualizados para o gerenciamento dessa infraestrutura.