Tradicionalmente, como indústria, confiamos fortemente em métricas como o custo de uma violação de dados como ferramenta para discutir o retorno do investimento (ROI). Os dados de terceiros proporcionam um nível de credibilidade ao participar em discussões sobre a necessidade de capacidades específicas para prevenir tipos específicos de ataques e evitar perdas. Mas quando os tomadores de decisão começam a se aprofundar um pouco mais, invariavelmente surgem questões e surgem resistências, como “quais são as chances de isso acontecer conosco?” ou “não somos tão grandes assim”. Pode ser difícil para os tomadores de decisão internalizarem os dados e acreditarem que eles são relevantes para eles e para sua organização. A prevenção de custos não é tangível por vários motivos.
Desafios para evitar custos
Um estudo aprofundado da CISA sobre o “Custo de um Incidente Cibernético: Revisão Sistemática e Validação Cruzada” discutimos alguns dos desafios da coleta de dados confiáveis sobre o custo de um incidente. Esses incluem:
- Baseando-se em dados históricos. Apenas uma fração dos ataques bem-sucedidos é divulgada publicamente. A amostragem de conveniência não é estatisticamente representativa. Não há como saber quantos incidentes não foram relatados e como eles variaram em tipo, tamanho, escopo e impacto a partir da amostra utilizada.
- Extrapolando perdas potenciais futuras. Os adversários adaptam-se às mudanças no ambiente de cibersegurança e também mudam o seu foco de uma indústria para outra, o que torna extremamente difícil a utilização de dados históricos para insights futuros.
- Variações na metodologia. As estimativas variam amplamente de uma análise de custos para outra com base no tamanho da organização-alvo, seu setor e região, bem como no ambiente regulatório e nas penalidades. Ademais, fatores “mais brandos”, como danos à reputação, podem ser incluídos nos custos totais, mas a forma como esses fatores são medidos muitas vezes não é clara.
- Probabilidade do incidente. Defender o investimento com base apenas na prevenção de custos é amorfo porque essa violação de dados ou tipo específico de incidente pode não acontecer com essa organização, muito menos de uma forma que mapeie diretamente a forma como o custo foi calculado.
Apesar destes desafios, evitar custos é uma forma poderosa de iniciar a discussão sobre o ROI. No entanto, para superar rapidamente as objeções, mudar para uma abordagem mais tangível para calcular o ROI pode ajudar.
Chegando à tangibilidade
À medida que a automação da segurança ganhou força e a escassez de competências em cibersegurança persiste, agora é o momento de iniciar uma discussão sobre o ROI baseada em como fazer mais com menos. Os casos de uso fornecem uma maneira tangível de quantificar o que uma organização pode alcançar com uma solução específica porque podem ser:
- Alinhado com as prioridades da organização. Existem vários casos de uso comuns, incluindo spear phishing, caça a ameaças, resposta a incidentes e gerenciamento de vulnerabilidades. Começar com um ou dois casos de uso que são importantes para a organização ajuda a concentrar a discussão nas áreas de alta prioridade que os tomadores de decisão consideram importante abordar rapidamente.
- Customizável para a organização. Cada caso de uso pode ser dividido nas atividades necessárias para abordar esse caso de uso e no custo dos recursos envolvidos. Por exemplo, o número de funcionários equivalentes em tempo integral, a taxa horária totalmente carregada e as horas envolvidas na conclusão das atividades necessárias antes de investir em uma nova solução fornecem a linha de base. Então, calcular os recursos necessários com a adição da nova solução proporciona o retorno financeiro desse investimento – incluindo ganhos de eficiência e eficácia. A transparência nesse cálculo e a flexibilidade para adaptá-lo a uma organização e ambiente específicos fornecem dados significativos e altamente relevantes.
- Mensurável. O ROI pode ser difícil de acompanhar continuamente. A transparência de uma abordagem baseada em casos de uso ajuda a facilitar isso. Métricas consistentes podem incluir o tempo para detectar e responder, o tempo para resolução ou a porcentagem de vulnerabilidades de alta prioridade corrigidas ou mitigadas. Ademais, o rastreamento e a geração de relatórios sobre o impacto nas equipes de segurança também são importantes. Métricas valiosas a serem consideradas incluem uma redução na necessidade de pessoal ou uma economia de tempo que permitiu aos analistas migrar para iniciativas mais estratégicas ou ser mais proativos em outras áreas.
É fácil falar sobre ROI em termos de evitar o custo de uma violação de dados. Independentemente da metodologia, os números são surpreendentes. Mas a prevenção de custos não pode ser isolada. Quando utilizadas em combinação com a tangibilidade, as duas abordagens podem servir como um duplo golpe para apresentar um argumento mais convincente para investimentos adicionais em segurança cibernética. É bom para a indústria, para as organizações e para as equipes de segurança.