Não me atrevo a mencionar valores frutos de reportes publicados por empresas de pesquisa, porque são obtidos por amostragem e não refletem necessariamente a realidade de todas as empresas grandes no Brasil. Até agora, a maioria das organizações no Brasil com legítima preocupação em manter um nível adequado de segurança da informação reservam um orçamento anual de cerca de 3% a 5% do total de despesas de capital.
Entretanto, existem organizações que estão subestimando seus riscos e destinando orçamento abaixo de 3%, o que é insuficiente, afetando os indicadores negativamente e isto pode ofuscar a visão dos executivos sobre o que deve ser investido em SI.
Esse percentual de 3% a 5% agora tende a aumentar, levando-se em conta que o cenário vem se alterando rapidamente nos últimos tempos. O volume e a natureza das ameaças que encontramos atualmente mudaram consideravelmente.
- Os cibercriminosos evoluíram, muitos deles unidos à organizações criminosas e instituições governamentais, motivados por ganhos financeiros, concorrência industrial e comercial em âmbito global. Eles têm inovado cada dia mais nas formas de ataque, exigindo assim níveis de segurança superiores e mais sofisticados.
- Mais um elemento altamente significativo atualmente se agrega nesse cenário de elevação do orçamento - sob o ponto de vista regulatório - a Lei Geral de Proteção de Dados. A LGPD vai demandar, no curto e médio prazos, um conjunto mais rigoroso de regras e controles que precisam ser implementados para sistematizar a coleta de dados de clientes e o seu uso, bem como para proteger adequadamente dados e informações.
Assegurar elevados níveis de confiança com a SI é um dos maiores desafios para qualquer empresa, não importando o seu tamanho e nem o setor de atuação. Gestão de riscos em segurança da informação é vital para todas as organizações que buscam um crescimento sustentável e enfrentam um processo de transformação digital. Torna-se cada vez mais uma questão de missão crítica para a maioria das empresas.
Para dimensionar adequadamente o seu orçamento em SI, a organização deve se orientar por uma análise de riscos - administrativa, técnica, física, regulatória - abrangendo pessoas, processos e tecnologias. Só assim ela conseguirá traçar uma estratégia robusta de modo a alcançar níveis maiores de maturidade e atingir padrões que assegurem um ambiente menos vulnerável e com menos riscos para a organização.
