Um relatório da Business Insider Intelligence estima que os investimentos em segurança da informação chegarão a US$ 655 bilhões até 2020. O aumento no número de incidentes é um dos fatores que tem impulsionado os investimentos em estratégias de proteção – segundo o Gartner, em 2015, o valor chegava a apenas US$ 75,4 bilhões.
Os números sugerem que as empresas estão dando mais importância à segurança da informação. Para o diretor comercial da empresa brasileira de cibersegurança KSecurity, Cleber Marques, aumentar o budget de segurança nas empresas não é suficiente para garantir a proteção dos ativos corporativos.
“As empresas só estarão bem protegidas quando contarem com um framework de segurança apropriado que inclua uma estratégia bem definida de prevenção e detecção e processos efetivos de resposta e recuperação. Investir apenas em soluções e controles de prevenção e detecção não é suficiente, e acaba trazendo pouco retorno à empresa”, explica o diretor comercial da KSecurity.
As consequências de adiar o planejamento
O relatório Cost of Data Breach 2016, do Instituto Ponemon, estimou que o custo médio das violações de dados no Brasil chega a R$ 4,31 milhões – mais que o custo de R$ 3,96 milhões registrado no ano anterior. Com os ataques cibernéticos custando cada vez mais caro, os líderes de negócio sentem a pressão de investir em segurança obtendo o máximo retorno de investimento.
No entanto, Marques alerta que a implementação das tecnologias adequadas necessárias para proteger o negócio pode acabar custando tanto quanto uma violação de dados, mas não há muito que possa ser feito se essa for uma necessidade do negócio.
“Temos visto que muitas empresas estão adiando o planejamento de iniciativas de segurança da informação a longo prazo e, quanto mais tempo levam para fazer isso, mais cara será a implementação das tecnologias certas, especialmente se, durante esse tempo, a empresa investir em soluções que, à rigor, não agregam em nada à segurança do negócio”, explica Marques.
“É comum, por exemplo, o CIO ou CSO já saber qual é a solução ideal para proteger o ambiente, no entanto, quando os líderes de negócio precisam tomar a decisão e passam a analisar os prós e contras, a solução escolhida pelo CIO é descartada por ser mais cara que algum outro controle que pode não trazer o retorno esperado”, afirma o diretor da KSecurity.
Como melhorar isso em 2017
Apesar de o budget de segurança da informação continuar crescendo, o aumento está longe de acompanhar as ameaças. Além disso, poucas são as empresas capazes de flexibilizar o valor destinado à área de segurança de acordo com a necessidade.
“Essa sempre será uma questão difícil, uma batalha que envolve tentativas de dedicar o budget apropriado, balancear custos com produtos de qualidade e planejar uma abordagem escalável de acordo com as tecnologias em evolução. O ideal é que os líderes de TI e segurança apresentem iniciativas aos executivos principalmente como uma necessidade para garantir a competitividade do negócio”, afirma Marques.
Ele destaca ainda a importância das iniciativas de segurança da informação para ampliar a confiança dos clientes e relacionar estratégias de proteção com processos críticos da empresa, assegurando a continuidade do negócio.
“É difícil encontrarmos alguma empresa com budget de segurança ilimitado, porém, ao defendermos a importância das iniciativas de proteção para a continuidade do negócio e suporte aos objetivos da organização, os líderes de segurança podem, ao menos, defender o desenvolvimento de uma estratégia a longo prazo que seja mais adequada aos negócios da empresa”, afirma Cleber.
