Como calcular ROI em projetos de segurança da informação?

Não há nisso tanto mistério. O que falta é um modelo de plano que atenda às necessidades de segurança da informação já bem conhecidas pelo mercado de tecnologia. Adotando-se uma estratégia orientada ao market-share,torna-se evidente a importância da segurança da informação como valor diferencial na estruturação e consolidação de uma guideline capaz de colaborar na captação de novos clientes, fornecedores e parceiros.

Duas das maneiras mais conhecidas e utilizadas pelo gerentes de segurança da informação para o cálculo do ROI são as análises de custos por incidente (individualizada por evento), e a análises de custos acumulados (geralmente mensal ou anual). Este cálculo serve para apresentar o retorno aos acionistas, apontando o patrimônio líquido do período, dividido pelo patrimônio líquido sem o resultado pretendido.

A primeira destas técnicas é chamada de Single Loss Expectancy (SLE). O cálculo do SLE mensura em termos financeiros o impacto de um incidente.Para começar, devemos listar todos os Ativos (tudo aquilo que é importante para a organização) e identificar as ameaças e vulnerabilidades existentes. Não devemos esquecer de potencializar o valor do risco pela importância do Ativo no contexto da organização (por exemplo, o computador utilizado pelo estagiário não tem a mesma importância que o do gerente financeiro, mesmo que o hardware seja igual). O índice resultante desta avaliação é o famoso BITMAP (Business and Information Technology Map) para unidades de negócio, e AMAP (Asset Map) para os Ativos.

Agora, que iniciaremos com exemplos de cálculos, é indispensável que todas as variáveis relacionadas abaixo sejam preenchidas pelo valor correspondente à sua organização, assim conseguiremos consolidar um plano com interferência real na apresentação dos resultados, conquistando desta forma a aceitação do grupo executivo.

Para o cálculo do SLE vamos considerar que uma empresa possui um sistema proprietário para administração do departamento financeiro. Este sistema foi desenvolvido ao longo de um ano por uma equipe de cinco pessoas que utilizavam cento e sessenta horas por mês. Com um salário de R$ 3.000,00 para cada um, estimamos um custo/hora na casa dos R$ 20,00 (acrescidos encargos, benefícios e outros). Uma vulnerabilidade no servidor principal deste sistema, explorada por uma ameaça, funcionário insatisfeito, hackers através da internet; sabotagem, causaria danos que na melhor das hipoteses dispenderiam o esforço de revisão de todo o código fonte da aplicação.

O prejuízo deste sistema pode ser calculado da seguinte forma:

8 (horas/dia) x240 (dias/ano) x 5 (número de pessoas) = 9.600 horas

R$ 20,00 (custo/hora) x 9.600 (horas) = R$ 192.000,00. Prejuízo total de R$ 192.000,00 – 100%. Destruição total dos arquivos, inexistência ou indisponibilização das cópias de segurança (back-up). Isto é quanto custa o Ativo do exemplo supracitado. Agora só resta decidir o quanto vale a pena investir em seguranca, pois já possuímos uma métrica para a definição de um prejuízo total.

Não computamos no exemplo acima fatores que causam a perda direta de market-share como: roubo e divulgação de informações confidenciais e ataque à imagem da empresa. Estes pontos que até aqui nos amedrontam como riscos contra os quais ninguém está 100% livre podem se tornar diferencial competitivo na conquista de mercado.

O cálculo de nossa segunda força de argumentação, instrumento capaz de mensurar os resultados de um bom projeto ou produto de segurança da informação, é baseado em incidentes percebidos ao longo de um período. Esta fórmula equaciona a Single Loss Expectancy, e o número de eventos ocorridos em um determinado espaço de tempo. SLE x número de ocorrências durante um ano = Annualized Loss Expectancy. Neste modelo de cálculo trabalharemos em cima de duas realidades bastante comuns a organizações que já utilizam a Internet como meio de comunicação entre funcionários ou como plataforma de novos negócios.