Nem sempre é fácil justificar alguns orçamentos, especialmente aqueles nos quais os resultados são intangíveis. Para “defender” um investimento feito em segurança, os executivos podem começar perguntando se a empresa sofreu, no último ano, alguns:
- Danos financeiros por ataques cibernéticos, ação de vírus ou ransomware, bem como por atos de espionagem?
- Danos à imagem do negócio como, por exemplo, com o vazamento de dados sensíveis de clientes?
- Danos à continuidade dos negócios por perda de acesso a sistemas, serviços e/ou bancos de dados?
E mais: “Na sua opinião, o fato de não terem ocorrido danos importantes deve-se mais à sorte ou aos controles existentes?”
Dificuldades globais
- As empresas modernas e os seus programas de segurança são extremamente complexos. A arquitetura, o ecossistema e o conjunto de funções e iniciativas em que a equipe de segurança média está envolvida é impressionante. Entretanto, a realidade também tem mostrado que o ambiente regulatório é cada vez mais complexo, retirando recursos de outras funções de segurança importantes. Um recurso que trabalha com questões regulatórias é aquele que não consegue lidar com outros desafios.
- Abordar lacunas no programa de segurança é menos sobre tecnologia e mais sobre pessoas e processos. Nos últimos anos, o escopo e a variedade das lacunas que uma empresa enfrenta aumentaram significativamente. Não estamos focando soluções tecnológicas em si - existem muitas delas por aí. De fato, muitas organizações já possuem tecnologia interna suficiente que pode ser aproveitada para resolver problemas. Então, o que está faltando? Entender como aproveitar adequadamente essa tecnologia junto com pessoas e processos.
- Conselhos e orientações tendem a ser muito abstratos e difíceis de operacionalizar. Na prática, muitas vezes há complicadores, fatores externos e circunstâncias atenuantes que impossibilitam a aplicação de conselhos voltados às boas práticas. Para a empresa moderna, o sólido conselho de segurança tem que vir com um olho afiado em relação à praticidade, ao pragmatismo e às operações. É fácil ser acadêmico e pontificado. É muito mais difícil passar pela burocracia em direção a uma solução significativa.
- Relatórios, métricas e comunicação do valor que a equipe de segurança fornece permanecem um desafio significativo. Os esforços de uma equipe de segurança podem facilmente passar despercebidos. Afinal, a segurança é um campo no qual nenhuma notícia é boa. Em outras palavras, se uma equipe de segurança está fazendo bem o seu trabalho, nada acontece e, quando isso acontece, ela é contida e corrigida de forma rápida e eficiente. Sendo assim, é fácil perceber por que é difícil para os executivos entenderem o valor que a equipe de segurança e os diferentes recursos de segurança existentes oferecem.
