Qual é o momento certo de investir em Segurança da Informação?

Aqui na Unbroken estamos o tempo todo falando com empresas que pensam em investir em Segurança da Informação. São empresas de diferentes tamanhos e necessidades, com níveis de maturidade (tanto de negócios quanto de Segurança em TI) que variam muito e, ainda assim, é comum ver essa dúvida: será que é a melhor hora de planejar e investir em Segurança da Informação?

Com nossa experiência, nos sentimos muito seguros para afirmar que o momento certo para começar a investir em segurança da informação é simplesmente o quanto antes. Claro que o tipo de investimento e o objetivo dele variam caso a caso, mas vamos mostrar o quanto a Segurança da Informação pode se tornar uma contribuição importante para sua empresa em diferentes contextos.

Separamos aqui algumas das justificativas mais comuns utilizadas por quem opta por não investir e os motivos pelos quais essas justificativas não são reais.

Não tenho muito dinheiro para investir

Essa é uma justificativa bem comum, mas na maioria das vezes inválida.

Vamos dois grandes motivos para isso. O primeiro deles é que é possível fazer muita coisa relevante em segurança da informação a preços irrisórios: backups, senhas, proteção de e-mails, proteção de acesso a dados e informações sensíveis, segurança de acesso na web e que podem trazer um bom retorno. A exigência maior acaba sendo tempo e não dinheiro (também falamos da falta de tempo como justificativa mais abaixo).

O outro grande motivo para invalidar essa justificativa é uma questão de ROI. Se você está comprando ferramentas e treinamentos, muitas vezes com alto custo de aquisição e manutenção, e não está sabendo aplicá-los da melhor maneira na sua empresa, não faz sentido algum investir. É isso que buscamos com uma estratégia eficiente: garantir que o dinheiro investido retorne com lucro para a empresa.

Caso você não tenha essa certeza do ROI no começo, antes de fazer investimentos maiores, a própria equipe responsável pela TI/Segurança da Informação podem aprender e colocar algumas ideias em prática para ajudar a alavancar passos maiores depois.

Teve uma experiência ruim e não quer arriscar novamente

O mercado de Segurança da Informação ainda é relativamente desconhecido para pequenas e médias empresas e nem sempre encontramos empresas que entendem esse novo contexto e estão em dia com suas práticas. A começar com pela mentalidade na área: são muitos os fabricantes ou intermediários, por exemplo, que não se preocupam ou não se responsabilizam pelos resultados reais obtidos com a Segurança da Informação. Se focam mais em vender ou renovar as licenças da ferramenta, vender um treinamento ou projeto de consultoria ou outsourcing, não possuindo um interesse genuíno nos resultados que o cliente vai obter com aquela aquisição, não provam diretamente seu valor à empresa, causando esse tipo de ''trauma''.

A culpa aqui não é da Segurança da Informação, é do trabalho ruim feito por este terceiro. É preciso separar o joio do trigo. Muitas vezes as empresas fazem investimentos em novas soluções de segurança sem entender se é realmente aquilo que precisam. Antes de fazer esse tipo de investimento, saiba o que cobrar e deixe claro seus objetivos e expectativas.

Falta de conhecimento

Esse é um dos desafios mais fáceis de superar, desde que exista boa vontade e dedicação. Hoje em dia a quantidade de conteúdos super didáticos de alta qualidade disponível online que te ajudam a implementar boas práticas básicas de segurança da informação é imensa.

Este conteúdos junto com ferramentas gratuitas ou com preços acessíveis, permitem qualquer empresa a conquistar seus primeiros passos e resultados com segurança da informação e aperfeiçoarem sua estratégia para alcançar metas ainda mais ousadas.

Já está satisfeito com a postura que tem em Segurança da Informação

Bom, nesse caso, se você realmente quer que o seu negócio prospere, talvez seja hora de sair da zona de conforto e remodelar sua estratégia de segurança da informação. O mercado muda com velocidade assustadora, constantemente são desenvolvidas novas ameaças e, consequentemente, novos produtos e soluções são criados para combatê-las.

É um erro bastante comum das empresas se acomodarem em seu avanço contínuo em segurança da informação, por acharem que não são alvos em potencial, ou que já conseguem controlar e administrar todos os pontos de riscos e vulnerabilidades.

Como dizemos para nossos clientes: cada dia é um novo dia, dentro e fora da empresa. As empresas acomodadas acabam perdendo a visibilidade do ambiente como um todo, não sabem onde estão as suas vulnerabilidades, quais são os dados críticos para o andamento do negócio, onde estão alocados, quem tem acesso a eles e, em casos extremos, esquecem os objetivos e metas que tem com a segurança da informação.

Mas, calma! Você não está sozinho nesta e, também, este não é o final do mundo. É apenas uma questão de saber olhar o problema de fora e saber por onde começar. Pequenos passos para alcançar grandes conquistas. Fazendo uma comparação com o nosso cotidiano, quando estamos doentes, não compramos todos os remédios disponíveis na farmácia. É preciso saber qual a doença e qual é o remédio ideal para tratá-la. Na segurança da informação funciona da mesma forma, apenas acumular produtos não vai resolver o problema, é preciso saber para onde quer ir, entender os pontos críticos e tratá-los da melhor forma.

Ah, e se você prefere ficar parado na situação em que se encontra, isso não vai te ajudar a ficar mais forte para crescer e encarar futuros problemas.

Não tenho tempo

Se você não tem tempo ou já acumula mais de uma função, essa é uma boa oportunidade para desenvolver ainda mais a sua habilidade de liderança e distribuir atribuições de segurança da informação para outras pessoas. Mesmo que você já tenha uma equipe estruturada em segurança da informação, pode contar com a estratégia para suprir as demandas de segurança e TI. Aqui na Unbroken, por exemplo, criamos nossa cultara de segurança muito forte. Todo mundo sabe os princípios básicos, os riscos, o que pode e não pode no ambiente corporativo, e elaboramos nosso alerta colaborativo — todo mundo pode alertar erros em processos ou práticas de segurança da informação da empresa ou colegas, propondo melhorias.

Pense da seguinte forma, esse tempo que você vai investir agora, vai lhe economizar tempo para alcançar bons resultados para sua empresa, alto ROI, além de construir um pensamento mais críticos para os próximos passos que você deve dar em segurança da informação na sua empresa. A maioria das empresas não deixam de existir por ter um problema de produto ou tecnologia, mas sim porque não enxergam com clareza para onde caminhar, aonde querem chegar e as ameaças que podem sofrer no meio do caminho.

E agora, por onde começar?

Bom, o primeiro passo é definir qual é o seu objetivo com a segurança da informação para, a partir disso, poder entender sua postura e construir um bom plano.

Alguns dos objetivos que você pode alcançar com a segurança da informação são otimizar seus investimentos em tecnologia, reduzir em x% o número de vulnerabilidades em dados sensíveis, tornar os colaboradores mais proativos em boas práticas de segurança da informação no ambiente de trabalho, aumentar as camadas de proteção de clientes estratégicos da empresa, entre outros, lembrando que esse objetivo deve suportar a estratégia da empresa como um todo.

A melhor forma de saber se a sua estratégia de segurança da informação é a ideal para o seu negócio, é acompanhando métricas que lhe tragam essa resposta.

É muito importante não criar métricas de vaidade e começar a medir indicadores que realmente demonstram resultados.

Se você já entendeu que agora é a hora para iniciar esse investimento, mas ainda tem dúvidas de como começar, compartilhe conosco, tire suas dúvidas, conte com a gente para respondê-las!