Como Calcular o ROI e Planejar os Investimento de Segurança

Um dos grandes desafios dos Security Officers em grandes e médias empresas é justificar o investimento em hardware, software e consultorias especializadas, justificando um retorno sobre o investimento (ROI – Return on Investiment) realizado.

Sabemos da dificuldade de se determinar valor para os investimentos de segurança, pois ainda em muitas empresas a área de Segurança da Informação é vista como uma área de custo operacional e não efetivamente como geradora ou influenciadora nos resultados financeiros.

Talvez o que faltr é um modelo de plano, que atenda às necessidades de segurança da informação, facilitando a adoção de uma estratégia orientada ao market-share, e que torne evidente a importância da segurança da informação como valor diferencial nos negócios da empresa, auxiliando na captação de novos clientes, fornecedores e parceiros e na redução de perdas e riscos operacionais.

Duas das maneiras bem conhecidas e utilizadas pelo gerentes de segurança da informação para o cálculo do ROI são as análises de custos por incidente (individualizada por evento), e a análises de custos acumulados (geralmente mensal ou anual). Este cálculo serve para apresentar o retorno aos acionistas, apontando o resultado líquido dividido pelo resultado sem as perdas observadas.

Single Loss Expectancy – SLE

A primeira destas técnicas é chamada de Single Loss Expectancy (SLE). O cálculo do SLE mensura em termos financeiros o impacto de um incidente.

Single Loss Expectancy (SLE) é cálculo que o impacto de um incidente em termos financeiros

Para início devemos listar todos os ativos (tudo aquilo que é importante para a organização) e identificar as ameaças e vulnerabilidades existentes. Não devemos esquecer de potencializar o valor do risco pela importância do ativo no contexto da organização (por exemplo, o computador utilizado pelo estagiário não tem a mesma importância que o do gerente de financeiro, mesmo que o hardware seja igual).

Para isto uma a análise utilizando a metodologia do BIA (Business Impact Analysis), utilizada comumente na confecção de planos de continuidade de negócio, pode ser de grande ajuda.

O índice resultante desta avaliação é o famoso BITMAP (Business and Information Technology Map) – para unidades de negócio, e AMAP (Asset Map) para os Ativos.

Para o cálculo do SLE vamos considerar que uma empresa possui um sistema proprietário desenvolvido e destinado a uma área de negócio qualquer, no nosso caso vamos considerar o departamento de compras.

Este sistema foi desenvolvido internamente e consumiu 200 horas de 5 analistas de salário de R$5.000,00. Considerando que no Brasil temos um sobre custo de funcionário em média de 2.1 vezes o salário, teríamos aqui um custo de R$10.500,00 , ou aproximadamente R$52,50 por hora.

Assim nosso custo sistêmico seria de :

200 (numero de horas) x 5 (quantidade de analistas) = 1000 horas de desenvolvimento

R$52,50 (custo hora) x 1000 (horas de desenvolvimento ) = R$52.500,00

Se ocorresse uma interrupção nos serviços deste sistema devido a uma vulnerabilidade ou a um ataque hacker, o prejuízo diário da indisponibilidade total do ativo sistêmico, sem considerar os custos processuais da atividade envolvidos,  seria igual ao custo do sistema, ou seja, R$52.500,00

Poderíamos ainda acrescentar no cálculo acima o impacto financeiro direto de fatores como imagem, multas contratuais, custo por não efetivação de negócios e outros.

Com isto já teríamos alguns parâmetros da possibilidade de um incidente ocorrer para avaliar e justificar o investimento em ferramentas que possam proteger estes sistemas.

Annualized Loss Expectancy – ALE

O segundo modelo que pode ser utilizado para o ROI é o cálculo baseado em incidentes percebidos ao longo de um período.

Annualized Loss Expectancy – é o cálculo do impacto financeiro de eventos ocorridos em um determinado espaço de tempo.

Annualized Loss Expectancy  = SLE x Número de ocorrências durante um ano

Neste modelo de cálculo trabalhamos em cima de realidade bastante comum em organizações que já possuam algum tipo de métrica de eventos de segurança. Assim, aqui vamos utilizar o ambiente de internet e o seu consumo inadequado pelos profissionais da empresa (por exemplo perdas de tempo em mídias sociais e outras conexões consideradas desnecessárias aos negócios)

Vamos imaginar o seguinte cenário:

  • Uma empresa com 1000 funcionários;
  • 100% possuem acesso à internet sem restrições;
  • Cada funcionário “gasta” 1/2hora por dia em acessos desnecessários ás suas funções.
  • O custo/hora médio de cada profissional é de R$20,00

Assim teríamos o seguinte cálculo:

1000 (funcionários) x 5 (hora por dia – 5 dias na semana) x 44 (semanas no ano) = 220.000 horas/ano
R$ 20,00 (custo de 1hora) x 220.000 (horas) = R$ 4.400.000,00

Temos então R$4.400.000,00 reais perdidos anualmente.

O cálculo desconsidera custos com a utilização da banda de internet e possíveis riscos organizacionais como vazamento de informações.

Tangibilidade

Todo  este cálculo de nada servirá se não transformarmos os resultados em algo tangível para a empresa, por isto para melhor resolver esta necessidade vamos dividir em três partes:

Análise de Risco 

A análise de riscos  faz um reconhecimento das vulnerabilidades existentes no ambiente macro da organização. Esta análise permite que os esforços sejam focados nos pontos que se demonstram mais vulneráveis. Muitas vezes são identificados canais ilícitos de escoamento da informação, que prontamente podem ser eliminados.

Implementação de Controles

A implementação de controles de segurança indicados e analisados na primeira fase permite um retorno visível do investimento realizado. Deste momento em diante os investimentos planejados e priorizados em uma estratégia de crescimento gradual já pode ser equalizados considerando o contexto de segurança.

Manutenção

A última parte é  manutenção do projeto. Nesta fase ocorre um ganho circunstancial de market-share em função do diferencial criado à imagem da empresa no mercado (confiabilidade). Há também uma redução crítica de incidentes e o risco finalmente é minimizado pela continuidade do processo e pelo desenvolvimento da curva de experiência dos funcionários.

A chave para o sucesso no planejamento do ROI é o planejamento sistemático alimentado por informações coerentes e convenientes.

 

SECURITY RISK MANAGEMENT (SRM)

O módulo SRM – Security Risk Management , desenvolvido pela MindSec auxilia, de forma estruturada, o cliente a identificar, avaliar e planejar as ações de segurança construindo o seu planejamento . O SRM é composto de quatro importantes módulos:

Security Assessment (SA)

SA – Security Assessment tem o objetivo de avaliar o estado atual de controles, políticas e governança de Segurança da empresa e as principais leis regulatórias do setor onde a empresa atua, criando um reporte preciso e realista com os principais GAPs, priorizados segundo critérios de risco previamente definidos junto ao  cliente .

A avaliação segue a aplicação da norma ISO27001, em todos os seus domínios, considerando as ferramentas e processos existentes, e avaliando os controles e monitoração dos eventos que possam gerar sinistros de Segurança e Proteção da Informação.

Security Maturity Model (SMM)

Baseado nas avaliações realizadas no módulo de SA é apresentado ao cliente uma curva de SSM – Security Maturity Model onde o cliente pode visualizar o seu estado atual de maturidade e então priorizar o investimentos buscando atingir o nível de implementação adequado a sua realidade.

A curva de SSM segue conceitos internacionais definidos pelo modelo SSE-CMM ISO21827 e ISO27001/27002, de forma a estabelecer parâmetros  e critérios para uma avaliação adequada e menos subjetiva.

Security Strategy Plan (SSP)

O módulo SSP – Security Strategy Plan tem o objetivo principal avaliar junto ao cliente a estratégia da área de Segurança da Informação e adequá-la segundo as necessidades já identificadas pelo cliente ou pelo SMM, de forma alinhada com o plano diretor de negócio e tecnologia da empresa.

O SSP define prioridades em conjunto ao cliente utilizando o resultado do SMM, para que possa ser estabelecido um plano realista, factível e temporal, de forma a estabelecer objetivos de curto, médio e longo prazo e as devidas previsões de investimento necessárias para alcançar os objetivos definidos.

Security Policy Framework (SPF)

O conjunto de documento de políticas é o principal recurso de suporte e parâmetro para as ações da área de Segurança da Informação. O SPF  é estabelecido por um conjunto de documentos que definem o que chamamos de Framework de Políticas de Segurança da Informação.

Os documentos necessários para uma boa operação, monitoração e ações de Segurança que devem ser definidos dentro do Framework de Políticas são:

  • Políticas
  • Normas
  • Procedimentos
  • Padrões

A MINDSEC atua junto ao cliente e as diversas áreas envolvidas para a criação destes documentos, os quais deverão ser submetidos para aprovação do corpo diretivo da empresa e divulgado através de treinamento e planos de conscientização a todos os colaboradores.

Para mais informações contate o representante MindSec, no email contato@mindsec.com.br,  e solicite uma apresentação sobre o tema.

 

por MindSec 21/08/2017
Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. CISO (Chief Information Security Officer)

Deixe sua opinião!