março 02, 2006

[Segurança] Retorno de Investimento em Segurança - Parte II

Hoje postei uma mensagem na lista CISSP-BR sobre ROI (Retorno do Investimento) em segurança. Essa é uma discussão que nunca vai terminar, pois faz parte de nossa incansável busca por algo que consiga justificar para a empresa os investimentos em segurança (que, em sua maioria, representam quantias volumosas - pois nessa área tudo é caro !).

Vou transcrever abaixo uma versão mais completa do texto que mandei para a lista, pois costumo enviar mensagens bem condensadas para listas de discussões (afinal, nem todo mundo tem paciência de ficar lendo e-mail dos outros).

Em poucas palavras, eu acredito que não existe ROI para projetos de segurança.

Entendo a preocupação e sou solidário a todos os demais colegas que discutem este tema, pois faz parte da nossa incessável busca por métricas que justifiquem, ajudem a aprovar e consigam medir a eficiência de nossos projetos de segurança. E é realmente muito difícil mostrar que um investimento em segurança valeu a pena. Afinal, a segurança serve para evitar que coisas erradas aconteçam. Como provar para a empresa que nada aconteceu (nenhum vírus infectou os computadores ou nosso website não foi "hackeado") porque nossos controles foram eficientes ou porque não iriam acontecer mesmo?

Veja a área de TI da sua empresa: as pessoas só lembram de TI para reclamar quando tem algum problema. Ninguém liga para o help desk para agradecer que, nos últimos 2 meses, o micro dele não pifou ou que ele não perdeu nenhum arquivo do Word.... A mesma coisa acontece com segurança !!!

Eu acredito que o "retorno sobre o investimento" só se mede em algo que influencia o lucro da empresa (Sugiro uma leitura na definição de ROI na Wikipedia e no site Search CIO). Um investimento tem que gerar um aumento na receita ou redução no custo maior do que o valor investido. Deve ser algo ligado diretamente ao coração do negócio. Algo que faça o faturamento aumentar ou o custo cair. Caso contrário, será muito difícil criar uma medida baseada em ROI.

E, na minha visão, isso não se aplica a projetos de segurança de uma forma geral, exceto em casos específicos: algo que afete diretamente o negócio ou algo que esteja intimamente atrelado a outro projeto.

Pois, afinal, acredito que a Segurança faz parte da infra-estrutura básica da empresa. Assim como ar-condicionado, o papel higiênico, a rede local e o desktop do pessoal administrativo. Investir nessa infra-estrutura (ventilador, router, firewall, etc) não vai aumentar seu faturamento nem diminuir seu custo. É algo que você tem (e consegue trabalhar) ou não tem (e sua empresa não consegue operar de forma minimamente saudável e/ou competitiva). Já vi muitas discussões sobre ROI terminarem com as perguntas "Quanto sua empresa gasta com cafézinho?" e "Qual o ROI do papel higiênico?"

Assim, uma medida baseada no ROI somente se aplica em projetos de segurança nos poucos casos em que a segurança pode influenciar o custo operacional da empresa diretamente (ex: colocando uam ferramenta que reduz a navegação dos usuários em sites impróprios e causa uma redução de 20% na banda internet contratada).

Outra alternativa é atrelar a segurança como requisito (infra-estrutura) para algum projeto maior, que seja diretamente relacionado ao negócio. Neste caso, calculamos o ROI deste projeto específico e a segurança seria uma das linhas de custo/investimento necessários para o projeto. Por exemplo, se sua empresa pretende implantar uma loja virtual que lhe permita aumentar o faturamento em 30% (pois vai aumentar o volume de vendas a um custo reduzido). Neste caso, ela vai ter que investir em equipamentos e serviços, tais como um servidor web, um banco de dados, um firewall, licença de antivírus, etc. No final das contas, este projeto tem que ter um ROI que agrade a direção (a grosso modo, o investimento tem que ser menor que o faturamento planejado). Neste caso, a Segurança é só uma parte do projeto e influencia só uma parte do cálculo de ROI.

Um projeto específico de segurança (ex: novo firewall corporativo, criação de uma política de segurança, etc) não se justifica baseado em cálculos de ROI. Na prática, assim como o Fernando Cima citou nesta lista de discussão, a maioria dos projetos de segurança são aprovados após a ocorrência de um incidente. Ainda mais quando o problema envolve a diretoria (vírus, vazamento de informação, perda de dados, etc). É uma abordagem que ninguém gosta de seguir, mas infelizmente é a que, na prática, apresenta maior eficiência :(

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.