O Gartner aponta que as organizações gastam uma média de 5,6% do orçamento geral de TI com Segurança e gerenciamento de riscos de tecnologia da informação, segundo os recentes Dados de Métricas-Chave de TI do Gartner. Entretanto, esses gastos variam de 1% a 13% do orçamento de TI, representando potencialmente um indicador incorreto do sucesso do programa.
“Os clientes querem saber se o que eles estão gastando em Segurança da Informação é equivalente aos outros custos em sua indústria, localização e tamanho do negócio para avaliar se estão praticando a devida diligência em proteção e programas relacionados” afirma Rob McMillan, diretor de Pesquisas do Gartner.
“Contudo, comparações gerais às médias genéricas do setor não dizem muito sobre o estado da segurança. É possível que se gaste o mesmo que um grupo de colegas, mas investindo em coisas erradas e estando extremamente vulnerável. Alternativamente, é factível gastar de forma correta, mas estar propenso a riscos diferentes de seus pares”, explica o executivo.
De acordo com o Gartner, a maioria das organizações continuará a usar incorretamente os valores de gastos com segurança de TI como um indicador para avaliar a postura dessa área até 2020.
Sem o contexto das exigências de negócios, da tolerância ao risco e dos níveis de satisfação, a métrica de gastos com segurança de TI em relação ao orçamento total da área não proporciona, por si só, informações comparativas válidas que devem ser usadas para alocar recursos de tecnologia da informação ou de negócios. Além disso, as estatísticas de despesas com TI isoladas não medem a eficácia da TI e não são medidores de sucesso. Elas fornecem simplesmente uma visão indicativa dos custos médios, sem considerar complexidade ou demanda.
Identificação do orçamento “real” de segurança
Os gastos explícitos com segurança são geralmente divididos entre hardware, software, serviços (terceirização e consultoria) e funcionários. Entretanto, todas as estatísticas sobre essas despesas são implicitamente “leves” porque elas minimizam a magnitude real dos investimentos de empresas nessa área de TI, considerando que esses recursos estão sendo incorporados em hardware, software, atividades ou iniciativas não especificamente dedicadas à segurança.
A experiência do Gartner indica que muitas organizações simplesmente não têm conhecimento do seu orçamento de segurança. Isso ocorre, em parte, porque poucos sistemas de contabilização de custos dividem esse tema como um item separado e muitos processos de segurança relevantes são executados por funcionários que não se dedicam a essa área em tempo integral, tornando impossível considerá-los com precisão para a equipe. Na maioria dos casos, os CISOs (Chief Information Security Officers) não têm percepções sobre o gasto com esse assunto dentro da companhia.
Para identificar o orçamento real de segurança, há vários fatores que devem ser observados, como o equipamento de rede que está integrado às funções de segurança, a proteção de desktop que pode estar inclusa na estimativa de suporte do usuário final, os aplicativos da empresa, os serviços de segurança terceirizados ou gerenciados, os programas de privacidade ou continuidade de negócios e os treinamentos que podem ser financiados pelo RH.
De acordo com o Gartner, empresas protegidas podem, às vezes, gastar em segurança menos que a média prevista no orçamento de TI. As companhias com menor despesa, que representam 20% do total, são compostas por dois diferentes tipos de organizações: as não seguras que gastam pouco e as seguras que implementam as melhores práticas para operações de tecnologia da informação e de segurança, o que reduz a complexidade geral da infraestrutura de TI e trabalha para diminuir o número de vulnerabilidades.
Segundo a visão do Gartner, as companhias devem investir entre 4% e 7% de seus orçamentos de TI em segurança: menos se já possuírem sistemas sólidos e mais se estão muito abertas e em risco. Isso representa um orçamento sob controle e responsabilidade do CISO e não o total ou “real”.
Para demonstrar o devido cuidado com segurança da informação, primeiramente, as organizações precisam avaliar seus riscos e entender tanto o orçamento dessa área do CISO quanto o orçamento “real” de segurança encontrado na variação complicada de contas que podem não capturar todo o gasto.
“Um CISO que tem conhecimento de todas as funções de segurança que ocorrem dentro da organização, bem como aquelas que são necessárias, mas ausentes, e da forma como essas iniciativas são subsidiadas, tem a probabilidade de usar ações financiadas indiretamente para maior vantagem”, completa McMillan.
