Business: Como Justificar investimentos em TI

Mudar rotinas de trabalho e investir em Segurança da Informação normalmente constituem um choque cultural nas empresas e criar uma cultura de Segurança da Informação é fazer toda a empresa, e em especial a área de T.I., trabalhar em prevenção para resolver problemas que ainda não aconteceram.

O conceito preventivo é o seguro automotivo. Carros possuem um valor financeiro definido e uma coleção de riscos inerentes tais como acidentes, indo desde um arranhão até a perda total, roubo com ou sem recuperação e desastres naturais. A probabilidade dos riscos é variável e razoavelmente previsível, levando-se em conta fatores como hábitos e idade do motorista, periculosidade do bairro onde reside, entre outros. O prêmio do seguro, que é o valor que se paga anualmente para manter o carro segurado, gira em torno de 4% do valor do veículo.

Com todos esses elementos em mãos, isto é, o risco (problemas), o impacto (valor do veículo) e o custo do seguro (prêmio) as pessoas conseguem avaliar com clareza. A decisão da maioria acaba sendo adotar a prevenção e gastar os 4% anualmente para não correr o risco de perder os 100%.

Por isso temos que encarar a Segurança da Informação como um seguro para o negócio.

Identificar os riscos é a parte mais corriqueira para qualquer equipe de Segurança. Muitas ferramentas de mercado trazem esse tipo de informação, cuja qualidade aumenta muito se adicionarmos uma mensuração de ameaças, através de monitoramento comportamental da rede e do ambiente externo (Security Intelligence).

O custo anual dos projetos e da operação de segurança, pode ser aceitável se for proporcional ao impacto financeiro de um incidente de segurança, haja vista a probabilidade dos riscos se realizarem. Eu sugeriria uma proporção girando em torno de 1%, para ser mais conservador do que os 4% do seguro do carro.

Entretanto falta um número para fechar essa equação: o impacto. Como medir o impacto financeiro de incidentes de segurança em uma empresa e ainda segmentar essa medida para poder aportar mais recursos na proteção dos processos de negócio mais importantes? A resposta vem das metodologias de continuidade de negócios: Fazer um BIA (Business Impact Analysis).

O BIA consiste em uma análise junto aos donos dos processos de negócio, através de entrevistas e questionários, a respeito de quais seriam as perdas financeiras inerentes a:

Uma paralisação do processo de negócio: Está associada ao risco de disponibilidade. Consiste em entender o quanto de faturamento o processo de negócio garante por ano e qual a porção irrecuperável desse faturamento diante de uma paralisação, com perda de vendas ou multa por atraso de pagamentos, por exemplo.

Uma necessidade de retrabalho: Está associada ao risco de integridade, onde informações incorretas podem acarretar reexecução ou verificação e correção das decisões tomadas. Pode ser calculada analisando o volume estimado de retrabalho em horas e multiplicando-o pelo valor/hora médio do departamento responsável.

Uma perda de demanda: Ligada ao risco de confidencialidade. Pode ser extraída dos business cases da área de marketing, considerando-se a anulação de ganhos dos projetos em caso de vazamento de informação onde a vantagem competitiva fique comprometida ou onde haja perda do timing de mercado.

Somando-se esses valores, podemos obter o impacto financeiro estimado para os incidentes de segurança sobre aquele negócio específico dentro do universo de faturamento da empresa.

Do impacto tiramos o que seria um investimento preventivo razoável utilizando o 1% sugerido, que pode variar de acordo com o apetite a risco da empresa. Finalmente a isso juntamos os riscos de violação da Segurança das Informações.

Se apresentarmos o plano de projeto neste formato, trazendo o impacto financeiro validado pelo negócio, os riscos deste impacto se realizar e o valor de 1% do impacto para evitar a perda, o subconsciente dos tomadores de decisão tende a reconhecer essa ponderação já feita tantas vezes ao assegurar bens. Com isso a probabilidade da decisão ser tomada a favor da prevenção e contra o risco é muito maior.

Pense: Diante de um risco de perder cem milhões de reais, você não investiria um milhão por ano para evitar essa perda?

One thought on “Business: Como Justificar investimentos em TI”

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *