10 maneiras de aproveitar melhor seu orçamento de segurança

Durante anos, os orçamentos de segurança pareciam seguir apenas uma direção: para cima. Até fevereiro deste ano, 62% das organizações disseram que planejavam aumentar seus gastos com segurança cibernética para 2020, segundo pesquisa da empresa de análise ESG.

Como seus colegas de nível C, os CISOs hoje estão sendo solicitados a fazer mais com menos – e provavelmente o farão por algum tempo, à medida que o mundo continua nesses tempos econômicos incertos.

Uma pesquisa realizada em abril pela IDG descobriu que 35% dos líderes de TI esperam que seus orçamentos diminuam como resultado da Covid-19 e da desaceleração econômica relacionada, e para 45% deles o gerenciamento de despesas se tornou o foco principal.

“Você nunca tem dinheiro suficiente, nunca tem pessoas suficientes para fazer o trabalho que precisa para realizar. Mas o trabalho do CISO todos os dias é reduzir os riscos, para que você seja realmente esperto em como faz as coisas”, diz Curt Dalton, Diretor Administrativo e líder global da prática de segurança e privacidade na empresa de consultoria Protiviti.

Com isso em mente, Dalton e vários outros líderes de segurança oferecem suas ideias sobre como eles e outros CISOs podem obter mais proveito de seus orçamentos de segurança:

Aumentar automação

Os executivos de toda a empresa estão recorrendo à RPA (automação de processo robótica) e outras tecnologias de automação para acelerar processos e aumentar a eficiência. Os CISOs também devem adotar oportunidades de automação, diz Dalton, observando que as eficiências do RPA normalmente evitam que os CISOs tenham que contratar pessoas para lidar com tarefas repetitivas, ao mesmo tempo em que permitem transferir a equipe existente para tarefas de maior valor. A automação também ajuda a aliviar alguns dos desafios de encontrar trabalhadores qualificados em segurança, o que adiciona ainda mais economia financeira.

Dalton diz que a automação de peças de gerenciamento de identidade e acesso (IAM), que tende a ter tarefas manualmente intensivas, pode gerar retornos particularmente bons, assim como a resposta automática a incidentes.

Os CISOs já estão a caminho: o Relatório de Benchmark CISO 2020 da Cisco constatou que 77% dos 2.800 profissionais de segurança que responderam à pesquisa planejavam aumentar a automação em seus ecossistemas de segurança.

Equipes de reequilíbrio

Uma vez, Dalton supervisionou um departamento de segurança, onde os 15 membros de sua equipe de avaliação e resposta a ameaças estavam completamente na corrida com o trabalho, muitas vezes dedicando noites e fins de semana, além do horário habitual da semana. Por outro lado, sua equipe de avaliação de riscos teve vários períodos corridos durante o ano, mas teve horários mais moderados no resto do tempo.

Para resolver o desequilíbrio da carga de trabalho, Dalton treinou as pessoas da equipe de avaliação de riscos para assumir parte do trabalho da equipe de avaliação de ameaças durante aqueles longos períodos em que a equipe de avaliação de riscos possuía cargas de trabalho mais leves.

Dalton diz que muitos CISOs podem achar que avaliar e reajustar os níveis de pessoal entre as equipes existentes pode evitar que eles precisem contratar mais pessoas (um dos elementos mais caros de qualquer organização), além de melhorar a resiliência da equipe e melhorar o ânimo por meio de treinamento cruzado e qualificação.

Analisar riscos e realinhar

Os CISOs gastam muito tempo realizando um trabalho tático, mas esses projetos táticos podem não oferecer muito valor quando se trata de proteger suas organizações contra os maiores riscos que enfrentam, diz Kayne McGladrey, membro da organização profissional técnica IEEE e ex-CISO na Pensar Development.

McGladrey recomenda que os líderes de segurança reavaliem periodicamente os riscos que suas organizações enfrentam, identifiquem os maiores e realinhem seus investimentos a esses riscos.

“É hora de analisar os principais riscos para a empresa e perguntar: ‘Só podemos fazer três coisas muito bem; elas estão alinhadas aos nossos riscos ou alinhadas a outra coisa?’ É uma questão de investir dinheiro naquilo que gera mais valor, em oposição ao que parece ser bom”, diz McGladrey.

Renegociar com fornecedores

Com a desaceleração da economia, os CISOs podem encontrar melhores compras nos produtos que usam para executar suas operações – mas precisam procurar esses acordos. “Trata-se realmente de CISOs que procuram oportunidades para comprar mais valor a um preço melhor”, diz McGladrey.

Ele recomenda que os CISOs avaliem os produtos de segurança em uso em suas organizações, juntamente com os fornecedores que os abastecem e determinem quais são os mais essenciais, quais oferecem o melhor valor e quais valem a pena procurar por melhores preços e termos.

“Ou talvez você ainda não tenha assinado o contrato, talvez seja um bom momento para pedir preços mais baixos ou olhar para os concorrentes”, acrescenta. “E se você puder olhar para isso e dizer: ‘Nós realmente não precisamos disso’, você poderá cortá-lo”.

Separar o orçamento de segurança da TI

Nathan Beu, Diretor da área de tecnologia da West Monroe Partners, uma empresa de consultoria de gerenciamento, viu a segurança como uma fenda maior no orçamento de TI em várias organizações. Ele diz que o fundo de segurança fica em segundo lugar com as necessidades da TI nesses locais, deixando o líder de segurança incapaz de aproveitar todo o seu dinheiro efetivamente pois o orçamento é um tanto precário.

Ele e seu colega, David Chaddock, gerente sênior da prática de tecnologia de West Monroe Partner em Chicago, apontam para um caso específico, em que os gastos com segurança de uma empresa de assistência à saúde faziam parte do orçamento maior de TI sob o controle do CIO. As necessidades de TI geralmente tinham precedentes, o que deixou o CISO lutando para obter um fundo estável para atrair o talento necessário. Em vez disso, o CISO usou desenvolvedores da equipe de TI para preencher lacunas, uma situação que Chaddock diz que “abriu todo tipo de vulnerabilidade”.

Beu recomenda que os CISOs façam lobby por um orçamento de segurança autônomo para permitir que eles criem planos e projeções de gastos plurianuais confiáveis, para que possam realizar investimentos de longo prazo nas pessoas e na tecnologia que acharem adequadas – planejamento que ajuda a garantir não apenas que eles obtenham bons termos de contrato e uma equipe qualificada, mas também aumenta sua postura de segurança no processo.

Alavancar mais recursos externos

O relatório 2020 da State of Cybersecurity da ISACA, uma associação profissional focada na governança de TI, mostrou que os problemas de pessoal persistem para a maioria dos CISOs. O relatório constatou que 62% dos mais de 2.000 profissionais de segurança cibernética pesquisados dizem que sua equipe está com falta de pessoal e 57% têm posições não preenchidas.
E, como os CISOs sabem, o talento não é apenas difícil de encontrar, é caro contratar e manter; ZipRecruiter calcula a remuneração média anual de um profissional de segurança cibernética nos Estados Unidos, em abril de 2020, em US$ 100.439 por ano.

Os CISOs que buscam maximizar seus dólares devem examinar suas necessidades de pessoal e determinar se algumas posições ou funções podem ser terceirizadas, diz Beu. Por exemplo, os CISOs podem achar que a contratação de provedores de serviços gerenciados para algumas habilidades altamente especializadas, que não são necessárias em tempo integral, pode liberar alguns dólares, ou eles podem aproveitar a experiência e os serviços especializados de fornecedores existentes como parte dos contratos já em vigor.

Treine com um orçamento apertado

Thomas Johnson, CISO do ServerCentral Turing Group, uma consultoria em nuvem da AWS, implementou um programa de treinamento em higiene de segurança para usuários de uma empresa anterior, um programa que ele montou usando sua própria apresentação em PowerPoint junto com o Skype e o serviço de compartilhamento de vídeos Microsoft Stream para distribuir o material. Johnson diz que os CISOs devem procurar especialistas internos, particularmente seus recursos humanos e/ou equipes de treinamento, para fornecer treinamento de segurança à organização.

Isso inclui o treinamento de suas próprias equipes de segurança.

“Os CISOs tendem a pensar que alguém fora da segurança não pode oferecer um módulo de treinamento em segurança, mas aproveitar o departamento de treinamento de sua empresa para obter todos os seus recursos pode oferecer bons resultados”, diz Johnson, acrescentando que o uso de programas e módulos de treinamento interno, que já foram adquiridos pela equipe de treinamento, mantêm os custos de treinamento de segurança sob controle, além de fornecer uma maneira rápida e fácil para os funcionários acessarem o material educacional.

Maximizar ferramentas existentes

John Shaffer, que como CIO do banco de investimento independente Greenhill também possui a função de segurança, quer receber o que está pagando.

“O mais importante é realmente testar o que você já possui”, diz Shaffer. “Eu acho que as pessoas colocam todas essas ferramentas para marcar uma caixa ou atender a algum tipo de requisito para uma estrutura ou para passar por uma auditoria, mas como você realmente sabe que elas estão funcionando? Você precisa testá-las e garantir que elas estejam fazendo o que dizem que estão fazendo”.

Para fazer isso, ele diz que implementou uma plataforma do fabricante de software Randoori para ajudar a identificar quaisquer fraquezas em sua postura de segurança “e depois manter os pés dos fornecedores no fogo”, usando desempenhos inferiores para negociar uma melhor cobertura, termos de contrato ou para encontrar um novo fornecedor com melhor desempenho.
“Isso pode levar a encontrar algo que faça o mesmo trabalho melhor ou mais barato. Sempre há mais pessoas entrando no mercado, então você tem mais alavancagem para negociar custos”, acrescenta.

Mover para o melhor da suíte

Por anos, os líderes de segurança têm procurado as melhores ferramentas de segurança para as várias funções diferentes em seu ambiente de segurança, mas Michael Coden, Chefe da prática de segurança cibernética do BCG Platinion, parte do Boston Consulting Group, diz que uma abordagem de melhor suíte, em que uma única compra pode oferecer várias ferramentas, pode ser uma opção financeira melhor. Não apenas o melhor da suíte pode custar menos, mas os CISOs provavelmente descobrirão que podem reduzir o tempo de treinamento da equipe, pois têm apenas uma ferramenta – não muitas – para aprender. Da mesma forma, os CISOs podem achar que precisam comprometer menos funcionários (e, portanto, menos dinheiro) para monitorar e gerenciar uma única ferramenta de melhor suíte versus várias soluções de melhor qualidade.

Analise as iniciativas lideradas pelos negócios para obter custos extras de segurança

Executivos de muitas organizações, principalmente as maiores, geralmente desenvolvem alguns de seus próprios recursos no nível de departamento, incluindo suas próprias ferramentas de segurança para os projetos favoritos ou iniciativas especiais.

Isso pode levar à duplicação de sistemas de segurança dentro da empresa, muitos ou todos que foram comprados sob diferentes contratos de fornecedores que rapidamente aumentam os custos.

“Você vê diferentes divisões em uma empresa com equipes de segurança diferentes e todas elas compram a ferramenta X, cada uma delas talvez para um recurso diferente. Mas se eles se unissem, o CISO poderia negociar com o fornecedor por um preço mais baixo”, diz Coden.

Ele acrescenta: “Centralizar a aquisição e administração de ferramentas de segurança cibernética é realmente importante para manter os custos [sob controle]”.

Coden diz que viu um cenário semelhante acontecer com implantações em nuvem, com diferentes unidades de negócios comprando seus próprios serviços em nuvem ou oferta SaaS com recursos e ferramentas de segurança incorporados como parte das compras. As equipes de segurança acabam gerenciando essas ferramentas de segurança, adicionando complexidade e custos adicionais às equipes. Ou quando essas compras na nuvem de unidades de negócios individuais envolvem a mesma oferta de segurança, isso pode significar custos duplicados.

Em todos esses casos, os CISOs poderiam maximizar seus dólares revisando todas as compras em nível de departamento e eliminando duplicações e complexidades, diz Coden, aconselhando os CISOs a criar padrões e estruturas para orientar os líderes de negócios a evitar essas situações e custos adicionais relacionados no futuro.