Começarei com um post menos técnico… ou melhor.. nada técnico, mas que é interessante quando falamos de segurança da informação. Muitas empresas não conseguem ver segurança da informação como investimento, pois faz uma conta simples: Se eu contratar um vendedor e pagar R$ 3000,00 para essa colaborador, eu aumento a minha venda em x% e com isso consigo aumentar os meus lucros em R$ 5000,00. Porém, se eu contratar um profissional de segurança da informação, eu terei apenas custo, não aumentando as minhas vendas.
Mas será que é assim mesmo que a coisa realmente funciona?
Para responder essa pergunta, analisaremos o caso da empresa Telefônica com o Speedy. O Speedy sofreu diversos ataques, diversos problemas e teve diversas paradas ao longo de um período de tempo onde sofreu diversos processos, teve que devolver dinheiro para clientes e ficou proibido de ser vendido por 2 meses, sendo liberada a venda apenas ontem, dia 26 de agosto.
Como podemos perceber, a falta de investimento em segurança da informação trouxe diversos prejuízos para essa empresa.
Portanto, podemos afirmar que segurança possui um “Retorno sobre o Investimento” que pode ser, na maioria das vezes, estimado e demonstrado para as pessoas que acreditam que segurança é apenas gasto.
Grande Filipe,
Primeiramente feliz aniversário
Seu comentário sobre o caso telefônica é muito pertinente e serve realmente para as empresas entenderem que as ameaças digitais devem sim ser levadas em conta ao se imaginar os riscos de uma operação que dela dependam.
No entanto, não concordo que possamos utilizar isto para justificar ROI de segurança da informação. Retorno sobre o investimento indicaria a empresa ganhar por investir em segurança e não deixar de perder. O seu exemplo justifica mais para indicar que segurança da informação é como um seguro, justamente o que as empresas acham que é e portanto pode ou não valer a pena, sendo na maioria dos casos um gasto.
Para vermos um retorno de investimento em segurança poderíamos analisar o internet banking. Os bancos estão melhorando suas tecnologias de internet banking, de modo a manter o acesso mais seguro e confiável por parte dos usuários, dando-lhes a “segurança” necessária para fazerem suas transações bancárias via internet. Ao sentirem-se protegidos, tais usuários deixam de utilizar as agências, o que economiza os custos de operações dos bancos, fazendo assim com que o investimento gasto em tecnologia da informação seja retornável. Isto pode ser medido, e cada tipo de negócio apresenta situações específicas que poderiam ser utilizados para melhorar a atuação da empresa, sua imagem e consequentemente seu faturamento, baseado em medidas de segurança da informação.
Abraços,
Rodrigo (BSDaemon).
Nao é exatamente verdade, uma vez que em 5 dias a Telefônica já vendeu 20k novas assinaturas. Provavelmente investiram o minimo possivel e em 2 meses, estarão novamente contratando novos vendedores. Seguranção não tem ROI ou pelo menos esse não foi um bom exemplo
Paulo,
Não sei não, mas na minha opinião você acabou validando o exemplo, que antes eu concordo não mostrava muito bem a idéia proposta… Isso porque ao fazer o ‘investimento mínimo em segurança’ a Telefônica passou a vender as 20k novas assinaturas…
Abraços,
Rodrigo (BSDaemon).
Olá,
Rodrigo, obrigado pelo “feliz aniversário”, rs…
Bom.. vamos lá…
Acredito que o fato de “deixar de perder” também pode ser considerado.
Vamos pegar o seu exemplo e imaginar que o banco conseguiu convencer os usuários que o teclado virtual é seguro e todos começam a usar. Porém, nós sabemos que não é seguro e o banco começa a perder dinheiro com as fraudes eletrônicas. Ele está ganhando dinheiro pelo fato do pessoal não estar indo mais na agência, porém, esta perdendo dinheiro com as fraudes online. Portanto, ele vai ter que fazer um investimento para deixar de perder, o que aumentaria os lucros que momentaneamente, não está tão alto pois ele perde R$ X milhões por mês com as fraudes eletrônicas. Portanto, é possível justificar o gasto na compra de tokens, pelo menos para os principais clientes, que quando são fraudados, perdem muito dinheiro.
Acredito que é até essa a conta que eles fazem ao providenciar token apenas para os clientes que possuem mais do que Y mil reais na conta, já que muitos usam a internet e nunca foram fraudados, porém, para evitar que sejam, enviam token para esses clientes. Não que token resolva o problema
Paulo,
como o Rodrigo falou, acredito que voce citou um exemplo real do que eu falei. Com muito pouco investimento, a Telefonica conseguiu convencer a Anatal que estava com seus problemas parcialmente resolvidos e conseguiu liberação para vender mais de R$ 1 milhão por mês em assinaturas Speedy em 5 dias.
Nesse caso, foi excelente, já que eles precisaram gastar muito pouco e estão com um retorno muito rápido
Abraços,
Filipe
mas o “investimento minímo” é suposição, talvez nem tenham feito nada. Nenhum cliente desses 20k, assinou o speedy pq pensou “agora eles estão seguros, vou assinar”. Em relação aos bancos, o custo das fraudes até hoje não justificaram o investimento. alias teve banco que esperou para implementar pois, por ser um banco sem o token, atraiu clientes que achavam “dificil” utilizar o mesmo. A adoção geral dos bancos foi mais no sentido de ter argumento legal, que o banco oferece mecanismos para o usuário ficar seguro, e assim, não precisar pagar mais os usuários fraudados.
Gostei do tema e vou colocar mais alguns pontos aqui referente ao assunto.
O ROI para telefonica só foi justificado depois que ela passou pelo problema, depois que ela perdeu $$$, então como justificar um ROI para um pessoa que não passou pelo problema ainda? Acho isso bem dificil!
Agora quanto a situação dos bancos eu acho que para eles é muito facil justificar ou demonstrar que eles podem perder além de $$$ mas valor de imagem quando estes estão envolvidos em alguma noticia de fraude! Assim como todas as instituições do ramo financeiro.
Como podemos por exemplo demonstrar o valor da segurança da informação para um gerente e/ou diretor de IT do ramo da industria ou do ramo do varejo?
Abs,
Olá Paulo, vamos lá…
se o “investimento mínimo” não existiu, foi melhor ainda, pois só anunciaram que fizeram um investimento e já conseguiram a liberação para vendas novamente. Nesse caso, o retorno foi maior ainda, já que a única grana gasta foi com o pessoal de marketing. (Quem sabe a área de TI não pagou por esse serviço da área de Marketing? rs).
Também não acredito que as pessoas assinaram o speedy por pensar que eles estão seguros. Tanto é que não defendo isso, apesar de poder ser uma justificativa colocada pelo Rodrigo.
Quanto ao avanço tecnológico, sempre tem um risco com relação a resistência das partes envolvidas, que nesse caso foram os clientes dos bancos. Sabemos que é caro, mas sem dúvidas, tem clientes que se sentem mais seguros com o token (alguns apenas, pois sabemos que é burlável).
E também foi interessante o seu comentário com relação ao argumento legal. Também tem casos onde a própria auditoria interna exige algumas coisas que não faz mais sentido, como por exemplo, o teclado virtual. Todos nós sabemos que não resolve nada, já que os fraudadores tiram screenshot da tela na hora que o cliente do banco clica no teclado, pegando todas as letras. Porém, o teclado virtual é usado para passar por auditorias e também, para os clientes menos informados, a remoção desse teclado virtual pode gerar uma desconfiança, já que o banco dele não tem mais teclado virtual e o banco do amigo dele tem, e uma pessoa sem conhecimento pode acreditar que o outro banco é mais seguro.
Se o argumento legal esta funcionando, eu tenho as minhas dúvidas, pois já vi banco não querer pagar, justamente por dar o token para o cliente. Mas também já vi o cliente conseguir mostrar que o token é possível de ser fraudado, tanto é que estão ocorrendo fraudes constantemente com clientes munidos desses dispositivos.
Obrigado por estar frequentando e discutindo aqui com a gente
Abraços,
Filipe
Olá Daniel,
a Telefonica sofreu com isso e ficou fácil justificar. Mas o que você tem que fazer é uma análise de risco e mostrar qual é esse risco para a pessoa. Por exemplo: “Esse servidor não possui nenhum mecanismo de segurança além de existir vulnerabilidades, e com isso, existe uma probabilidade de uma determinada ameaça explorar essa vulnerabilidade e causar um impacto alto, podendo deixar o sistema da empresa fora do ar por um dia inteiro”. Com isso, voce (ou o cliente) sabe qual é o prejuizo de ficar fora o sistema por um dia, pois vai deixar de dar suporte ao cliente, fazer vendas, etc… Então, assuma que esse prejuizo seja de R$ 500.000,00 e para mitigar esse risco, o valor a ser investido é de R$ 100.000,00. Com isso, dificilmente a empresa vai assumir esse risco pra ela e acaba investindo em segurança.
Portanto, voce consegue mostrar os riscos que a empresa assume sem investir em segurança. Pode ser que ela resolva mitigar os riscos ou simplesmente aceita e ve no que da.
Abraços,
Filipe