Recursos/White Papers

Tecnologia

Gastos com segurança de TI estão sendo mal alocados, afirma o Gartner

CISOs devem avaliar riscos e identificar o orçamento “real”, alerta a consultoria

Da Redação

Publicada em 09 de janeiro de 2017 às 15h49

De acordo com o estudo "Dados de Métricas-Chave de TI", do Gartner, as organizações estão gastando 5,6% do orçamento geral de TI, em média, com Segurança da Informação. Mas essa métrica está longe de ser um indicador de sucesso. As estatísticas de despesas com TI isoladas não medem a eficácia da TI e não são medidores de sucesso. Elas fornecem simplesmente uma visão indicativa dos custos médios, sem considerar complexidade ou demanda.

"O percentual gasto não diz muito sobre o estado da segurança. É possível que se gaste o mesmo que um grupo de empresas concorrentes, mas nas coisas erradas, permanecendo extremamente vulnerável. Ou que se gaste da forma correta, mas continue exposto a riscos diferentes de seus pares”, explica Rob McMillan, Diretor de Pesquisas do Gartner.

De acordo com a consultoria, empresas protegidas podem, às vezes, gastar menos que a média prevista no orçamento de TI. No estudo, companhias com menor despesa (20% do total) apresentaram dois perfis:  as não seguras que gastam pouco e as seguras que implementam as melhores práticas para operações de tecnologia da informação e de segurança, o que reduz a complexidade geral da infraestrutura de TI e trabalha para diminuir o número de vulnerabilidades.

Por esses motivos, o Gartner considera que a métrica de gastos com segurança de TI em relação ao orçamento total da área (de 1% a 13%, em geral) não proporciona, por si só, informações comparativas válidas para determinar a alocação dos recursos no contexto das exigências de negócios e da tolerância ao risco.

Além disso, a experiência da consultoria mostra que muitas empresas sequer contemplam segurança em seus orçamentos. Isso porque poucos sistemas de contabilização de custos alocam esse tema como um item separado e muitos processos de segurança relevantes são executados por funcionários que não se dedicam a essa área em tempo integral. 

Geralmente, os gastos explícitos com segurança são divididos entre hardware, software, serviços (terceirização e consultoria) e funcionários. Entretanto, todas as estatísticas sobre essas despesas são implicitamente “leves” porque elas minimizam a magnitude real dos investimentos de empresas nessa área de TI, considerando que esses recursos estão sendo incorporados em hardware, software, atividades ou iniciativas não especificamente dedicadas à segurança.

Dessa forma, a maioria dos CISOs (Chief Information Security Officers) não tem real percepção sobre os gastos com segurança.

segurançafin

Na opinião da consultoria, para identificar o orçamento real de segurança há vários fatores que devem ser observados, como o equipamento de rede que está integrado às funções de segurança, a proteção de desktop que pode estar inclusa na estimativa de suporte do usuário final, os aplicativos da empresa, os serviços de segurança terceirizados ou gerenciados, os programas de privacidade ou continuidade de negócios e os treinamentos que podem ser financiados pelo RH.

Para demonstrar o devido cuidado com segurança da informação, primeiramente as organizações precisam avaliar seus riscos e entender tanto o orçamento dessa área do CISO quanto o orçamento “real” de segurança encontrado na variação complicada de contas que podem não capturar todo o gasto.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui