Vultus News | Como planejar a cibersegurança para 2025 com eficiência no investimento
Como planejar a cibersegurança para 2025 com eficiência do investimento
Fim de ano é o momento decisivo para as organizações em termos de planejamento estratégico e orçamento. É a última chamada para definir as prioridades que irão guiar o novo ano. Antes de encerrar o Q4, esse rumo já deve estar consolidado. Nessas discussões, vemos uma nova personagem ganhando cada vez mais espaço: a cibersegurança tem assumido um crescente protagonismo nos últimos anos no desenho estratégico das empresas.
Já é possível afirmar que ela se tornou uma das vias centrais para a rota de futuro dos negócios. Os executivos das áreas externas à Segurança da Informação ou TI já entenderam que a projeção de resultados depende, intrinsecamente, do planejamento de cibersegurança. Está cada vez mais consolidada no mercado a noção de que a segurança cibernética é um dos drivers não apenas da sobrevivência e continuidade dos negócios, mas da inovação e do crescimento. E isso vale para empresas de quaisquer setores, envergaduras e modelos de negócio.
Nesse sentido, fundamentalmente, os executivos precisam aplicar uma abordagem sistêmica e especializada em cyber, para, então, conseguir conectar de forma consistente a segurança de todos os ativos digitais com o cenário global de tecnologia, e as metas e especificidades do negócio.
Um dos mecanismos que apoiam nesse desafio é o Plano Diretor de Segurança da Informação. O PDSI funciona como um primeiro diagnóstico abrangente, ditando o roadmap efetivo para as demandas de momento e de futuro.
Para que seja efetivo, o PDSI precisa:
Como essa abordagem apoia a eficácia orçamentária de cyber
Ao entender a maturidade e os riscos com abrangência e consistência, a organização chega a um PDSI robusto e condizente com as necessidades de negócio. E, portanto, consegue otimizar os investimentos digitais.
"Elaborar o orçamento de TI não é – ou ao menos não deveria ser – calcular o budget destinado a comprar determinadas tecnologias e, a partir disso, achar que se garante a segurança das operações para o ano. O cenário de tecnologia muda, profunda e constantemente, de um ano para o outro. Surgem novos mecanismos de ataques cibernéticos, diferentes vulnerabilidades, e também novas tecnologias são desenvolvidas. Por isso, é essencial revisar as estratégias, os direcionamentos e as metas", analisa Marcus Marques , diretor de operações na VULTUS.
Assim, o momento de planejar e orçar o próximo ano exige atenção máxima dos executivos em relação à cibersegurança, para que as ações estruturantes sejam elaboradas com assertividade, bem casadas com a orçamentação e as reais necessidades de mitigação de risco.
O que muda no PDSI sob uma estratégia anual
Especialistas globais têm alertado cada vez mais sobre um contexto paradoxal: a evolução da tecnologia serve tanto à proteção das empresas quanto à sofisticação do cibercrime.
Nesse sentido, é imprescindível que as organizações revisem periodicamente os direcionamentos de cyber. Isso passa pela identificação contínua de novos riscos – que deve estar prevista no PDSI. Sob essa abordagem, as iniciativas de mitigação de risco são revisadas, evitando a obsolescência do plano diretor e garantindo a eficácia dos investimentos nas ações certas.
Como fica o orçamento com o PDSI revisitado?
Os riscos podem mudar significativamente de um período a outro. Entretanto, isso não significa que a fatia orçamentária destinada à cibersegurança deverá aumentar.
Esse comportamento flutuante é característico do ambiente digital. Para minimizar os impactos financeiros disso, as organizações precisam estar devidamente paramentadas para otimizar os investimentos em cyber, a fim de lidar com essa inconstância sem desperdiçar recursos. Como ressalta o especialista da VULTUS:
"Em geral, se a empresa já tem um PDSI bem estruturado, o que muda são as prioridades e a destinação dos recursos, de acordo com o entendimento sobre quais processos e ações devemos priorizar, e quais tecnologias adquirir. É possível que mude completamente em relação ao que foi planejado para o ano corrente. A nova estratégia precisa direcionar para essa mudança de acordo com os riscos atuais".
Exemplos práticos
"O risco pode ter aumentado consideravelmente, pode ter reduzido, ou apenas estar diferente em termos de vetor de ataque. Em um dos cases da VULTUS, o cliente era um grande varejista que possuía um risco altíssimo no passado, com uma recorrência de ataques semanais. Implementamos a estratégia adequada em um ano de trabalho, e o risco diminuiu potencialmente. Inclusive, foi possível suspender os testes de invasão, pois as fronteiras da empresa foram robustecidas. O que aceleramos nesse primeiro ano, especialmente em tecnologias, pode desacelerar. E, então, o que precisou ser colocado como secundário no momento inicial de extrema vulnerabilidade, pode ser atentido", explica Marques.
Em outro case da VULTUS, o caminho foi inverso. A empresa, que atua no varejo de moda, já possuía um PDSI consistente e o sistema bem protegido, com a gestão de vulnerabilidades adequada rodando há dois anos. Porém, novos riscos surgiram no e-commerce, relacionados ao vazamento de credenciais.
Esse é um dos crimes mais recorrentes, especialmente no Brasil, e pode acontecer de diversas formas no setor do varejo. Entre elas:
Nesse caso, a gestão de identidades e acessos foi um passo crucial do PDSI, junto a outras medidas. "Implementamos as ações necessárias para mitigar esse risco cibernético e os ataques diminuíram significativamente", conta o especialista da VULTUS.
"O ideal é fazer uma formulação estratégica do plano diretor no segundo semestre do ano, quando geralmente as empresas começam a trabalhar o ciclo orçamentário do próximo ano. E para que ela entregue bons resultados, é preciso entender que segurança cibernética não só a tecnologia. Ela também compreende processos, pessoas, KPIs e governança. Considerando tudo isso, construímos o orçamento. Não adianta ter um baixo nível de maturidade e direcionar a verba para a compra de ferramentas. Isso não resolve o problema. Por isso, olhamos para todas essas dimensões da área de segurança, o que, inclusive, faz com que consigamos ajudar nossos clientes a economizar recursos na casa de milhões de reais, que seriam despendidos, por exemplo, para comprar fires de borda e outras ferramentas que não atacariam os riscos reais. O diferencial de uma estratégia de cibersegurança é esse olhar sistêmico e integrado, que permite o investimento na proporção adequada e nos lugares certos", alerta o especialista da VULTUS.
Construa um PDSI robusto e eficiente financeiramente com a VULTUS: