Aula4

S

A

S

Segurança da Informação – Retorno

sobre Investimento

Prof. Filipe Nunes Ribeiro

A

Retorno sobre Investimento – ROI

Posicionamento Hierárquico

Gerência de Mundanças
Gerência de Mundanças

R

I

Como uma empresa decide se vai adotar ou apoiar

R

I

Como uma empresa decide se vai adotar ou apoiar

determinado projeto?

Retorno financeiro

Como avaliar se o investimento em segurança terá

retorno?

ROI – R

S

I

Ferramenta antiga e conhecida por empreendedores

atentos ao mercado de oportunidades

Cruzamento de dados reais relacionados a custos diretos,

indiretos e intangíveis, com a projeção de investimentos indiretos e intangíveis, com a projeção de investimentos

Nortear as ações de executivos

Essencial para auxiliar a tomada de decisão e justificar

ROI – R

S

I

Não existe um único modelo de ROI

Todos os modelos buscam a resposta mágica para

a pergunta:

ROI – R

S

I

Pergunta

É possível mensurar o retorno do investimento para

ROI – R

S

I

Algum tempos atrás investimento na área

tecnológica era tratado como um “mal necessário”

Eram adquiridos itens de tecnologia (hardware,

software) sem se preocupar em medir resultado

Como obter retorno das “despesas”?

Repassadas no preço do produto ou serviço ao

consumidor final

ROI – R

S

I

Como fazer essa “amarração” entre a tecnologia e

o negócio?

Como avaliar se o investimento tecnológico irá

trazer resultados?

Utilização de ROI`s em subcategorias, com maior

detalhamento

No caso de segurança não basta modelar um ROI

tecnológico; é preciso abordar tecnologias problemas mais específicos como a segurança da informação

ROI – R

S

I

As dificuldades são entender, conhecer e mapear

os problemas corporativos

Sem essas informações não seria possível desenvolver

uma ferramenta de ROI coerente, confiável e pronta uma ferramenta de ROI coerente, confiável e pronta para apoiar a priorização das ações e tomadas de decisão.

ROI – R

S

I

O ROI da segurança nos fornece respostas que

ajudam a reverter a velha imagem de despesa, convertendo-a em investimento...

ROI – R

S

I

Vamos pensar em custos diretos que podem ser

reduzidos?

E custos indiretos?

Existem custos intangíveis ou incalculáveis?

ROI – R

S

I

Vamos pensar em custos diretos que podem ser

reduzidos

Computadores invadidos por vírus

Funcionários atingidos
Paralisação

Paralisação

ROI – R

S

I

Vamos pensar em custos diretos que podem ser

reduzidos

Acesso livre à Internet

Acesso informações não relacionadas à atividade profissional

Interrupção do trabalho
Custo homem/hora

ROI – R

S

I

Vamos pensar em custos diretos que podem ser

reduzidos

Indisponibilidade do serviço de Internet Banking

Correntistas que acessam por hora
Correntistas procurariam as agências
Correntistas procurariam as agências
Custos extras – equipamento e pessoal

ROI – R

S

I

Vamos pensar em impactos indiretos que podem ser

reduzidos

Computadores invadidos por vírus

Equipes para remover os vírus ($)

Tempo necessário para reconstruir arquivos e
Tempo necessário para reconstruir arquivos e

informações que se perderam com a contaminação
Restaurações de cópias de segurança

ROI – R

S

I

Vamos pensar em impactos indiretos que podem ser

reduzidos

Acesso livre à Internet

Sobrecarga da banda de rede

Antecipação de investimentos e ocasional
Antecipação de investimentos e ocasional

indisponibilidade

Permitir contaminação por vírus de toda a rede
Pior: expor a empresa a sanções legais

relacionadas à pirataria de software, pedofilia e crimes virtuais, etc.

ROI – R

S

I

Vamos pensar em impactos indiretos que podem ser

reduzidos

Indisponibilidade do serviço de Internet Banking

O cliente pode não ter conseguido realizar

transações financeiras, investimento, solicitação de cartão de crédito, etc.

Cliente deverá ser reparado

Ligação do telemarketing

ROI – R

S

I

E os custos intangíveis e incalculáveis

Invasão causando roubo de informações

Quem obteve aquela informação (concorrente, imprensa)?

Problemas de dimensão indefinida
Problemas de dimensão indefinida

Impacto à imagem é coisa séria e custosa de ser revertida

Gasta-se mais recurso tentando reconstruir uma imagem sólida, segura eficiente e compromissada com o cliente do que o que foi gasto para construí-la.

ROI – R

S

I

Como é o estudo do ROI?

Reunir informações que sinalizem os eventos em que há

quebras de segurança

Registrar os eventos ao longo do tempo

Com números somados a projeções e simulações será

possível gerar um estudo de ROI capaz de traduzir na

linguagem executiva o que eles realmente precisam entender:

ROI – R

S

I

Importante ressaltar que

Todo investimento tem seu ponto de inflexão

Ponto na curva onde o retorno já não é proporcional ao

ROI – R

S

I

Importante ressaltar que

Essa situação indesejada ocorre, por exemplo, quando se

investe um montante maior que o valor do bem protegido

Deve-se, contudo, ponderar todos os aspectos associados à

P

H

Abrangência dos desafios associados à Segurança da

Informação

Reorganizar estrutura hierárquica da empresa a fim de suprir

novas demandas

Erro comum:

Encapsular o orçamento e administração da equipe
Encapsular o orçamento e administração da equipe

de segurança à área de TI

As vulnerabilidades estão em diversos ambientes e processos da empresa

Limitar a atuação da equipe de segurança à área de TI é entrar na teoria do iceberg

P

H

Abrangência dos desafios associados à Segurança da

Informação

Ações alinhadas às diretrizes estratégicas

Visão corporativa, global

Maior retorno sobre o investimento

P

H

Uma proposta de organização hierárquica...

Criação de um Comitê Corporativo de Segurança da

Informação

Posicionado no segundo nível hierárquico, ao lado do Comitê Executivo, que reúne o CIO, CEO e

conselheiros conselheiros

Deve ser uma unidade multidepartamental,

coordenada e com forte representatividade das diretorias da empresa

P

H

Uma proposta de organização hierárquica...

Criação de Comitês Interdepartamentais de Segurança

Atuarão como consolidadores de resultados parciais e finais, desempenhando funções de coordenação, controle, planejamento, avaliação e execução,

fazendo-os chegar ao Comitê Corporativo a fim de realimentar o processo

G

M

São inúmeras as variáveis que interferem direta e

indiretamente nos riscos operacionais do negocio

Novos mercados

Inovações tecnológicas
Expansão física

Crescimento dos recursos humanos
Mudanças de normas e leis

G

M

A resposta das empresas para o dinamismo dessas

variáveis que as põem em risco deve ser dada na mesma medida

A segurança deve ser mantida por um processo de
A segurança deve ser mantida por um processo de

Gestão Corporativa de Segurança da Informação

Composto por subprocessos retroalimentados, que interajam

todo o tempo com as variáveis e estejam constantemente sendo ajustados as diretrizes estratégicas do negocio

G

M

Equipe de coordenação deve pensar nos eventos que

podem acontecer na empresa:

Contratação de recursos humanos

Atualização de um servidor e seu sistema operacional
Implantação de um novo sistema de gestão

Ocupação de uma nova sala comercial

Aparição de um novo concorrente no mercado com grande

G

M

Equipe de coordenação deve pensar nos eventos que

podem acontecer na empresa:

Contratação de recursos humanos

Atualização de um servidor e seu sistema operacional
Implantação de um novo sistema de gestão

Ocupação de uma nova sala comercial

Aparição de um novo concorrente no mercado com grande

aparato tecnológico

Tais fatos representariam mudanças que interfeririam

G

M

Tais fatos representariam mudanças que interfeririam

diretamente no seus riscos operacionais

Análise minuciosa dos reflexos para se definir as próximas

ações

É necessário um Modelo de Gestão Corporativo de

É necessário um Modelo de Gestão Corporativo de

R

SÊMOLA, Marcos. Gestão da Segurança da

Informação: Uma visão executiva. Rio de

Janeiro: Elsevier Editora, 2003. ISBN: 85-352-1191-8.

DIAS, Cláudia. Segurança e Auditoria da
DIAS, Cláudia. Segurança e Auditoria da

Tecnologia da Informação. 1a Edição. Editora