brasil
sites mundiais
produtos
compras symantec
serviço e suporte
security response
downloads
parceiros
sobre a symantec
pesquisa
comentarios


© 1995-2005 Symantec Corporation.
Todos os direitos reservados.
Notas Legais
Política de Privacidade
pequenas empresas

Segurança e retorno do investimento

Não é tarefa fácil, mas cada vez mais empresas estão procurando meios de calcular o Retorno do Investimento dos seus gastos com segurança.

Todas as empresas assumem riscos se querem recompensas. Em parte, é disso que trata o Retorno do Investimento (ROI). Em troca da quantia de dinheiro gasta, você espera recuperar mais do que essa quantia de volta. Mas como tratar investimentos cujo retorno não é facilmente mensurável em dólares e centavos? Por exemplo, como calcular o ROI para segurança? Este artigo examina as novas formas que as empresas estão utilizando para calcular o ROI desse fundamental investimento.

Laranjas e bananas
O dilema que assombra empresas grandes e pequenas quando elas se esforçam para espremer toda vantagem competitiva de cada dólar gasto: onde está a prova quantificável de que o gasto da quantia X irá prevenir a perda da quantia Y em razão de brechas na segurança? As análises tradicionais de custo-benefício não podem ajudar muito aqui porque custos e benefícios precisam ser medidos nos mesmos termos. É fácil no caso de alguns investimentos que claramente aumentam a receita, mas não com segurança, onde freqüentemente é difícil expressar os benefícios em dólares. Para muitas empresas, o benefício dos investimentos em segurança muitas vezes se resume ao chamado retorno “soft” – como uma melhora na imagem da marca por se evitar a publicidade negativa associada ao ser invadido por hackers – e outros similares que são difíceis de quantificar. Talvez não seja surpresa que, na ausência de números concretos, os defensores de aumentos dos gastos em segurança algumas vezes recorram ao medo, incerteza e dúvidas – ou MID – para sustentar seu ponto.

Argumentando a favor do ROSI
Entretanto, no passado recente, um grupo de pesquisa vem crescendo apoiando a proposição de que é possível calcular um retorno tangível para o investimento em segurança (ou ROSI). Grande parte dessa pesquisa vem dos campos de avaliação de risco e gerenciamento de risco. Ela examina coisas como redução dos custos relacionados à minimização do risco e dos ganhos de produtividade associados com os investimentos em segurança. Embora a matemática e a economia que suporta esses estudos esteja além do escopo deste artigo, considere os seguintes desenvolvimentos:

  • Pesquisadores na Universidade de Idaho estimaram a relação custo-benefício para o sistema de detecção de intrusão (IDS) que eles construíram. A equipe definiu os custos para a detecção e resposta às várias intrusões e para uma ampla gama de bens tangíveis e intangíveis. O objetivo deles era provar que é melhor o custo-benefício de se lidar com ataques usando a detecção de intrusão do que qualquer outro método. Suas conclusões: um IDS que custa 40 mil dólares e tem uma eficiência de 85 por cento gera um ROSI de 45 mil dólares em uma rede na qual se espera que se perca anualmente 100 mil dólares como resultado de uma intrusão.
  • Em outro estudo, pesquisadores de Stanford, do MIT e da consultoria @Stake calcularam o valor da segurança incorporada a vários estágios no processo de desenvolvimento de software. Usando uma combinação de dados públicos e privados sobre o processo de desenvolvimento de aplicações, a equipe construiu um modelo temporal. Suas descobertas: o ROSI é de 21 por cento quando a segurança é incorporada precocemente nas fases de planejamento e cai para apenas 12 por cento quando incorporada na fase de testes. Os pesquisadores também descobriram que o custo de correção de quatro bugs durante a fase de testes totalizou 24 mil dólares, mas inflariam para 160 mil se fosse feito após o software ter sido implementado.
  • Em um terceiro estudo, os pesquisadores criaram uma infra-estrutura de rede similar à usada por empresas que conduzem transações pela Internet. Medições do desempenho foram realizadas para estabelecer uma taxa padrão da capacidade; então medidas de segurança foram aplicadas em etapas e novas medições foram tomadas e comparadas com as medidas padrões. Os pesquisadores descobriram que aplicar as medidas corretas de segurança pode gerar ganhos de eficiência – ou seja, um aumento da capacidade da rede – de mais de 3 por cento.

Ninguém está dizendo que é fácil – Como o exemplo acima mostra, calcular um ROSI tangível demanda muita matemática – e trabalho. Mas o ponto é que ele pode ser calculado. Pesquisas estão disponíveis para ajudá-lo a calcular o custo dos incidentes de segurança para a sua empresa e a probabilidade de um dado incidente ocorrer.

Por exemplo, a equipe da Universidade de Idaho apresentou a seguinte fórmula para o cálculo do ROSI: (R-E)+T = ALE, e R-ALE = ROSI (onde R = o custo anual para recuperar-se de uma intrusão; E = a economia gerada por se interromper uma intrusão; T = o custo da ferramenta de detecção de intrusão; e ALE = a Expectativa de Perda Anual).

Resultado: A criação de um modelo econômico defensivo para o ROSI por meio da análise de risco quantificado é possível.

O quadro geral
O crescente cuidado dedicado ao ROSI indica que o orçamento em segurança vem sendo examinado como nunca foi. Ao mesmo tempo, a ameaça de ataques cibernéticos continua a crescer dia-a-dia. Razão mais do que suficiente para "tornar a segurança parte do processo empresarial", de acordo com Linda McCarthy, autora de “IT Security: Risking the Corporation” (Segurança em TI: Pondo em Risco a Empresa). Para apoiar esta declaração, McCarthy cita duas ameaças dominantes à segurança de computadores corporativos: a disseminação das ameaças combinadas de rápida disseminação (ou seja, os códigos maliciosos) e a insuficiência de fundos alocados por administradores para iniciativas em segurança. Ela também sustenta um ponto de vista essencial a qualquer discussão atual sobre segurança e ROI: as empresas que negligentemente permitem que a segurança seja comprometida podem ser processadas pelas vítimas dos crimes cometidos por outros.

A alegação seguinte de McCarthy, de que a segurança bem-sucedida da informação precisa partir do topo de uma organização, enfatiza outro ponto sobre a crescente importância do ROSI: é um modo de especialistas de segurança e administradores de empresa falarem a mesma língua.

Conclusão
Provar o valor da segurança em números concretos e claros nunca será fácil. Leva-se tempo, precisa-se de trabalho de campo e disposição para coletar uma verdadeira armada de dados. O ROSI está surgindo como um modo preeminente para suportar um sólido argumento corporativo para os gastos em segurança – especialmente no frio clima econômico de hoje em dia. As empresas que ao menos não começarem a percorrer esse caminho podem acabar colocando-se cada vez mais em risco.
Clique aqui para conhecer os produtos voltados para a pequena empresa.