Pressione enter para ver os resultados ou esc para cancelar.

Como avaliar o retorno de investimento em projetos de segurança da informação

Projetos na área de tecnologia, voltados para a segurança da informação e governança de TI, podem variar muito em relação ao seu tamanho, complexidade e investimento financeiro. Por isso, sempre que sua empresa iniciar a implementação de um projeto novo, deve ser avaliado o porte da empresa, sua maturidade em relação à utilização dos recursos de tecnologia, a disponibilidade técnica e de recursos humanos para a execução e o orçamento disponível para investimento.

A partir desse contexto, direcionamos nossa análise para o mercado de pequenas e médias empresas, que, cada vez mais, também necessitam ter segurança em suas informações e uma boa gestão dos recursos de TI. Percebemos uma dificuldade em avaliar o retorno do investimento, no sentido de viabilizar a execução desses projetos. Isso porque, muitas vezes o retorno não é percebido por não haver métricas de acompanhamento em relação ao desempenho dos sistemas, disponibilidade dos recursos de TI, ocorrências de falhas de segurança ou perda de dados e acompanhamento da produtividade da equipe e dos colaboradores através da tecnologia.

Essa falta de métricas de gestão voltadas à tecnologia e uso dos recursos, pode, muitas vezes, esconder gargalos (problemas) que comprometem a competitividade e resultados da sua empresa, como altos custos com manutenção de equipamentos, comprometimento na execução das tarefas devido à problemas frequentes com equipamentos ou sistemas que deixam de funcionar, baixa produtividade da equipe devido ao desperdício de tempo na utilização da internet e celulares pessoais pelos colaboradores, sem contar os riscos que a perda de dados da empresa ou dos clientes pode representar.

Dessa forma, iremos abordar os benefícios gerados para as empresas, a partir de uma boa política de segurança da informação e governança de TI.

Importância da Segurança da informação

O primeiro ponto a ser considerado são as razões pelas quais as empresas precisam de segurança, que podem ser distintos e em alguns casos se complementarem.

Algumas empresas implementam políticas de segurança da informação pela necessidade de se adequar à normas regulatórias, muitas vezes aplicadas ao setor de atuação da empresa, como instituições financeiras ou empresas da área contábil. Nesses casos, a valor está totalmente relacionado na necessidade de proteger informações financeiras, contábeis e dados de clientes. Como a necessidade de atender as normas é um requisito, o investimento em segurança da informação faz parte dos custo básicos do negócio, devendo fazer parte do planejamento estratégico da empresa.

Para empresas que possuam unidades e ou operação distribuída, a maior necessidade se torna a disponibilidade das informações entre as unidades e a segurança na comunicação entre estas. Pois é comum que filiais estejam conectadas com a matriz via sistemas de gestão e que através dessa comunicação trafeguem dados sigilosos do negócios. Nesses cenários a segurança da informação ganha muita importância, pois precisa garantir uma disponibilidade permanente das informações e ao mesmo tempo garantir que os dados não possam ser interceptados. Para estimar o valor da segurança, pode-se considerar o custo da falta de comunicação entre unidades, onde as atividades do negócio não possam ser executadas, muitas vezes comprometendo atividades fins, como vendas e atendimento a clientes.

No contexto de empresas pequenas e médias, onde a necessidade de segurança das informações do negócio pode não ser tão facilmente percebida, deve-se estimar qual seria o impacto da perda ou roubo de informações do negócio, como dados financeiros ou de clientes.

Dentro desses riscos, podemos destacar a epidemia de ataques de Ransomware nas PMEs em 2016, que consiste no sequestro de dados. Nesse artigo falamos um pouco mais sobre Ransomware e como se proteger.

Ainda dentro da segurança, outro ponto importante é a incidência de vírus na rede e os custos gerados a partir desse problema, como a necessidade de manutenção nos equipamentos e o tempo ociosos dos colaboradores a partir da indisponibilidade de uso de equipamentos e sistemas.

Investir em segurança da informação é sempre uma estratégia com o objetivo de prevenir risco e prejuízos. Por isso, ao avaliar o retorno de investimento deve ser considerado qual pode ser o prejuízo ou impacto que falhas de segurança podem gerar à empresa.

Alguns exemplos de métricas de acompanhamento e ROI podem ser, mensurar as despesas geradas com profissionais ou empresas de TI a partir da manutenção de sistemas e equipamentos e calcular o tempo ocioso dos seus colaboradores a partir de sistemas e equipamentos em manutenção ou indisponíveis. Nunca esquecendo de considerar o impacto que perda de informações podem representar para sua empresa.

Uma boa política de segurança da informação passa por vários pontos, primeiro é necessário orientar os colaboradores sobre os riscos e como identificá-los. Depois disso, as ações devem contemplar três pontos complementares:

  • Prevenir: proteger os locais de armazenamento de informações do acesso à terceiros.
  • Detectar: identificar de forma rápida qualquer tipo de ataque ou falha de segurança.
  • Responder: agir de forma eficiente em caso de falhas, corrigindo vulnerabilidades e consertando pontos afetados.

Sabemos que uma boa política de segurança da informação demanda planejamento e investimento de pessoal e recursos financeiros. Mas é imprescindível que sua empresa dê atenção a esse assunto, avaliando os riscos e implementando medidas para se proteger. Muitas vezes medidas simples e acessíveis podem manter sua empresa protegida da maioria dos riscos existentes na rede.

A gestão do acesso a internet é uma dessas ações simples, pois é possível evitar o acesso à sites nocivos na internet. Acessos a esses sites podem ocorrer de várias formas, como usuários clicando em mensagens de e-mail falsas. Esse tipo de acessos são a maior porta de entrada dos vírus nas empresas atualmente.

Compartilhe aqui nos comentários como sua empresa avalia o retorno de investimento em relação a segurança da informação e o que faz para se manter protegida!