ROI, Meta-ROI e Despesa!

A segurança também busca identificar as suas justificativas para que a companhia libere recursos financeiros para os projetos e ações de proteção da informação. Colaborando com esse cenário, artigos e palestras de consultorias nos encantam com o tema de investimento em segurança. Porém, no mundo real, todo Security Officer comenta da dificuldade de convencer a direção da organização em “assinar o cheque”!

O que acontece? As consultorias estão fazendo o canto da sereia? Ou nós, profissionais de segurança da informação, não conseguimos identificar o ROI? Existe ROI ou não existe? Nem tanto ao mar, nem tanto à terra!

O que acontece é que nem todas as situações ou projetos possibilitam que identifiquemos o ROI. Primeiramente, devemos nos lembrar que se vamos à direção e falamos que a verba destinada à segurança da informação é investimento, a direção vai querer saber quando aquele investimento estará pago em função da economia realizada. Isto é retorno de investimento!

Analisando esse assunto identifiquei três situações para projetos:

a) Projetos que podem quantificar um ROI

Em algumas situações o ROI pode ser calculado com um alto grau de certeza. Por exemplo, projetos de implantação de uma nova ferramenta no ambiente computacional que vai diminuir as chamadas ao help desk e a indisponibilidade dos micros utilizados pelos usuários. Transformar as horas de help desk e dos usuários em valores que abaterão o custo da compra da ferramenta é perfeitamente possível.

b) Projetos que identificam um Meta-ROI

Quando desenvolvemos um projeto de plano de continuidade de negócio, uma das etapas é a realização da análise de impacto. Em um trabalho bem conduzido, é identificado o possível impacto (financeiro, de imagem e operacional) quando os recursos de informação, que suportam o negócio, ficarem indisponíveis. Utilizar um percentual do valor desse impacto para a aquisição dos recursos necessários para a continuidade do negócio é uma solução adequada. Afinal, caso não tenha esses recursos, em uma situação de desastre, a organização terá um prejuízo muito maior. Porém, aqui é que temos uma diferença. O ROI somente acontecerá se ocorrer uma situação de indisponibilidade dos recursos. Nessa situação fica evidente que a organização fez um ótimo investimento. Mas, se o desastre ou situação de indisponibilidade não acontecer? Como diremos para a direção que foi um investimento sem retorno? Nesse caso, podemos calcular apenas o que identifico como Meta-ROI. Os recursos disponibilizados para a continuidade de negócio somente serão considerados um investimento se acontecer um desastre.

c) Projetos que a segurança é despesa e parte do negócio

Em muitos outros projetos a segurança da informação é parte dos projetos. Por exemplo, em um projeto de e-commerce, alguém de sã consciência profissional vai avaliar qual o ROI para decidir se teremos segurança da informação? A proteção da informação faz parte do projeto. Evidentemente vamos buscar que a implementação da segurança tenha um custo e qualidade compatível com o negócio. Mas é uma despesa! Será investimento considerando o projeto de negócio como um todo.

Essa é uma abordagem realística. Plagiando Abraham Lincoln, podemos solicitar aos céus que “busquemos o ROI nos projetos que o ROI pode ser calculado; não calculemos o ROI para os projetos que o ROI não pode ser identificado; e tenhamos sabedoria para distinguir essas situações.” Analise cada projeto de segurança da sua organização sob essa ótica e com a sabedoria necessária!