Além de justificar os investimentos feitos em segurança, é preciso, ainda, justificar sua manutenção ou aumento. Por isso, aqui estão algumas recomendações que devem ser adotadas, em conjunto, para que a eficiência do orçamento de segurança seja relevante:
- Definir objetivos de segurança da organização. Estes devem balancear o investimento necessário para atingi-los e o risco intrínseco assumido. Ambos devem ser compatíveis com os padrões da indústria em que a organização atua.
- Estabelecer critérios de contabilização de custos de segurança para todos os projetos de TI e analisar os custos de segurança de forma destacada dentro do orçamento global de TI. Dedicar especial atenção às iniciativas e projetos de TI que terão impacto significativo no custo com segurança.
- Analisar, a cada ciclo orçamentário, o atingimento de objetivos e o custo efetivo de segurança. Comparar com a média da indústria em que a organização atua e ajustar, se necessário.
- Avaliar a eficiência dos sistemas de segurança atualmente implantados comparando os custos efetivos e os resultados alcançados com os objetivos. Avaliar as tecnologias alternativas disponíveis para os sistemas atuais e realizar uma simulação do resultado obtido caso estas fossem adotadas.
- Padronizar e operacionalizar os processos relativos a segurança. Desenvolver procedimentos de gestão de segurança que permitam integrar os resultados de todos os sistemas adotados. Uma sugestão é adotar o ciclo PDCA formal para aperfeiçoamento constante dos processos relativos à segurança. Além disso, avaliar a contratação de serviços de consultoria especializada para implementação da padronização e operacionalização dos processos de segurança.
- Considerar a possibilidade de terceirização dos processos operacionais de segurança utilizando empresas especializadas em segurança (MSSPs - Managed Security Service Providers).
- Avaliar sistemas de segurança não implantados na sua organização e a contribuição de cada um deles para os objetivos da segurança de TI. Elaborar plano de adoção para os sistemas necessários e economicamente viáveis, considerando a possibilidade de contratá-los como serviços.
