Retorno sobre investimento em segurança informação

Evidentemente todas as ações realizadas nas organizações devem trazer um retorno positivo. Esse retorno pode ser financeiro, de imagem, adequação às normas e regulamentos que caso não seja realizada acarreta um passivo em conformidade, melhorias no ambiente profissional e outras situações benéficas para a organização. Temos de tomar cuidado para não exigir (ou buscar loucamente) um retorno financeiro para todas as situações de implementação de ações e projetos de segurança da informação. Após vários anos de experiência no assunto proteção da informação, identifico três situações em que classifico a questão de retorno de investimento (ROI- Return  On Investment). a) Existe um ROI                                                                                  Existem situações em que é relativamente fácil demonstrar o retorno sobre um investimento realizado em projetos de segurança da informação. Normalmente são situações em que temos uma perda real já acontecendo e caso algum controle seja implementado, essa perda cessa e após algum tempo o investimento realizado se paga. Um exemplo simples é o uso de anti vírus. Uma empresa que não possui esse tipo de proteção tem uma ocorrência muito grande de vírus. Nessa ocorrência se tem uma perda financeira direta com a parada do trabalho de pelo menos um funcionário, com o custo de um técnico para retirar o vírus, com ações de recuperação e tempo de retorno para a normalidade. b) Existe um Meta-ROI                                                                          Este caso refere-se às situações em que caso uma determinada situação aconteça, teremos um ROI. Caso não aconteça, teremos um gasto financeiro. O exemplo mais característico dessa situação é a implementação de planos de continuidade de negócio. Em um exemplo desse tipo uma organização investe US$ 1 milhão em planos desse tipo, para evitar que, quando de uma situação de indisponibilidade nos recursos de informação, a organização pare de realizar o seu negócio e tenha um impacto financeiro de um valor muito maior, tipo US$ 100 milhões. Caso ocorra uma situação de desastre nos recursos de informação, termos claramente um excelente ROI. Mas, caso esse desastre não ocorra, a organização teve uma despesa de US$ 1 milhão. É uma situação clássica de Meta-ROI. c) Existe uma despesa parte do projeto                                               Os profissionais de segurança têm certo receio de dizer explicitamente que determinados gastos devem ser considerados como despesas que fazem parte da solução de negócio. Rigorosamente poderemos analisar separadamente da solução, mas aqui entre nós: é querer ser mais real do que o rei! Podemos citar como exemplo: uma empresa vai desenvolver o negócio de comércio eletrônico. Neste caso a segurança tem que ser considerada na solução. Não temos escolha. É parte da despesa da solução. Evidentemente que vamos buscar desenvolver e implementar a solução mais adequada (custo x benefício).                                              Na prática vamos encontrar situações parciais entre estes três tipos apresentados. Precisamos ter sabedoria para identificar qual a melhor abordagem para explicar para toda a organização como encarar os recursos utilizados em projetos e ações de segurança da informação. Querer por querer explicitar o ROI financeiro para todos os projetos de segurança não é uma atitude completamente sábia.                            Com boa vontade e profissionalismo a organização saberá justificar os recursos necessários para os projetos e ações em segurança da informação. Edison Fontes, CISM, CISA.                                                                   Gerente Sênior CPM Braxis. Associado InfoSec Council, ABSEG e ISACA.                                                                                                   [email protected]