Como avaliar o retorno sobre o investimento em soluções de segurança?

0
35
Tema Blog do TI Série: ROI
Como avaliar o retorno sobre o investimento em soluções de se
Como avaliar o retorno sobre o investimento em segurança
Como avaliar o retorno sobre o investimento em soluções de segurança

Como avaliar o retorno sobre soluções de segurança?

Série ROI em Segurança – Parte #1: Como avaliar o retorno sobre o investimento em soluções de segurança?

Apesar de os profissionais de tecnologia da informação saberem da importância que as ferramentas de segurança de informação têm dentro da infraestrutura de TI de uma empresa, periodicamente eles são questionados por seus superiores quanto ao retorno obtido com o investimento feito nestas tecnologias.

Por um lado, é compreensível que esse questionamento seja feito pelos responsáveis pela área financeira. Em especial em um momento de crise econômica, os controles quanto aos investimentos realizados em todas as áreas naturalmente aumentam para que cada real aportado resulte em um ganho para o negócio.

Por outro, embora ainda sejam vistas como “despesas” por empresas com visão estritamente financeira, as soluções de segurança são fundamentais para garantir maior produtividade e reduzir os riscos de perdas motivadas por ataques e roubo de dados. Além disso, temos atualmente produtos que permitem trazem ganhos financeiros através de funcionalidades específicas que reduzem o custo..

Nesta série especial sobre ROI em soluções de segurança, a BluePex abordará algumas técnicas para que o gestor da área de tecnologia possa comprovar, na prática, o retorno que vem sendo obtido com o investimento feito neste tipo de ferramenta.

Por onde começar?

Existem diversas maneiras para calcular o ROI das ferramentas de segurança. A maneira mais utilizada até então, o classifica de três formas:

  1. Diretos – São aqueles que podem ser medidos como um resultado direto da implantação da ferramenta. Pode ser, por exemplo, um ganho financeiro obtido graças à implementação da solução. 

    Como exemplo, podemos citar uma empresa que implementa um firewall UTM e, por isso, passa a conectar suas filiais por meio de uma rede VPN. Com isso, deixa de contratar um link MPLs, que é consideravelmente mais caro. O ganho financeiro, nesse caso, pode ser facilmente mensurado. Por isso é um retorno direto. A empresa terá uma redução de custo com esta nova solução. 

    Um outro exemplo muito comum é a quantidade de horas extras feitas devido a problemas de disponibilidade da Internet durante o horário de trabalho, o que obriga os colaboradores a ficarem após o expediente para conseguir completar as atividades de trabalho. E isso onera a empresa.
     

  2. Indiretos  São aqueles ganhos que são obtidos como consequência do uso de uma solução, mas que dependem de outros fatores para acontecer. Por isso é impossível mensurá-los como algo direto.Um exemplo de ganho indireto acontece quando uma empresa implementa ferramentas de controle de redes sociais. Naturalmente há um ganho de produtividade, mas não há como atribuí-lo somente à ferramenta. Há também um fator de comportamento dos colaboradores que precisa ser considerado.  Nesse caso, é importante mensurar o antes e o depois. Como sugestão pode-se medir a quantidade de tempo que os colaboradores utilizam com acessos indevidos segundo a politica da empresa e o quanto isso representa financeiramente.
  3. Redução de risco – Embora não sejam tão levadas a sério por algumas empresas por tratar apenas de simulações, as perdas que são evitadas pelas soluções de segurança também devem ser apontadas pelo gestor de TI.

    Quanto custaria para um negócio se ele ficasse, por exemplo, mais de 24 horas sem emitir notas fiscais graças a uma parada de sistemas resultando de uma ação de sequestro de informações, também conhecido como Ramsonware? Ou então ter seu processo produtivo interrompido graças ao ataque de um vírus na rede? Neste caso, para estimar, pode-se utilizar um percentual de risco de isso acontecer e aplicá-lo considerando espaço de tempo de um ano (neste prazo, quantas vezes poderia acontecer este problema). Em alguns casos, conclui-se que uma paralização de um dia das atividades da empresa compensaria o investimento no produto.

No próximo capítulo da série, trataremos como mensurar o retorno sobre o investimento em soluções de Antivírus. Não perca!


Fale com a BluePex®
Texto: Marketing BluePex®