O mundo corporativo gira em torno de dinheiro — esta é uma constatação grosseira e até difícil de engolir, mas estamos falando nada mais do que a verdade. Todo empreendimento tem como finalidade gerar lucro, e, por isso, é natural que a alta diretoria tenha cautela quando o assunto é realizar algum investimento; especialmente quando é difícil prever que o seu retorno financeiro será positivo.
Com segurança da informação, esse impasse é ainda mais desafiador, visto que tal área, historicamente falando, costuma amargar com um orçamento incompatível com as necessidades para uma adequada estratégia de mitigação de riscos. Isso ocorre principalmente pela falta de sensibilização do board em relação à criticidade do tema para a resiliência de suas operações e reputação da marca.
E, se o budget já é escasso dentro da área de SI como um todo, o que dizer sobre o subsetor de human risk management? Muitas empresas nem sequer investem na conscientização e na gestão do risco humano — o que é um erro cabal, visto que o fator humano, como bem sabemos, é a linha de frente em qualquer estratégia de proteção e o mais importante na criação de uma cultura de segurança.
Em um cenário de instabilidade econômica, com um número cada vez maior de corporações cortando gastos e controlando seu caixa, como podemos defender a importância de um orçamento digno para campanhas de educação e gestão dos colaboradores? Trata-se de uma tarefa difícil, mas que podemos facilitar com algumas dicas simples.
O retorno sobre o não-investimento
Embora seja sim possível calcular o retorno sobre investimento (ROI) da contratação de um parceiro para o gerenciamento do risco humano, é mais importante ainda esclarecer aos c-levels que, invariavelmente, o investimento em conscientização sai mais barato do que lidar com as eventuais consequências de ter uma equipe despreparada para lidar com a crescente quantia de riscos à informação.
Vazamentos de dados, infecções por ransomwares e roubo de propriedade intelectual são apenas alguns exemplos de incidentes que podem pesar bastante em qualquer caixa. Afinal, eles vêm acompanhados de multas regulatórias, compensações a clientes, perda de produtividade, interrupções nas operações (downtime), danos reputacionais permanentes, comunicação com o público… A lista é gigantesca!
Apenas para termos uma ideia numérica mais concreta, de acordo com a última edição do relatório Cost of a Data Breach, da IBM, um vazamento de informações gera um prejuízo de, em média, US$ 4,45 milhões. É importante observar que este valor é 15% maior em comparação com 2020 e a tendência é que tal prejuízo só aumente ao longo dos próximos anos.
A contratação de uma solução robusta de human risk management — como a Eskive — e a aplicação de um programa ininterrupto de conscientização para os colaboradores é um investimento insignificante perante tal perigo de prejuízo, e é essencial para garantir que incidentes supracitados não ocorram, garantindo que os usuários estejam prontos para lidar com ameaças à informação.
Mostre números concretos
Não adianta citar resultados de maneira abstrata — números concretos são essenciais para mostrar que o investimento está proporcionando os resultados esperados e efetivamente criando uma cultura de comportamento seguro dentro da empresa.
Curiosamente, no último relatório SANS 2023 Security Awareness Report, muitos profissionais de conscientização e gestão do risco humano citaram “falta de orçamento” e “falta de mão-de-obra” como fatores desafiadores para que seus programas dêem resultados. Porém, pouquíssimos especialistas entrevistados mencionam a falta de métricas relevantes.
A metodologia Eskive, além de resolver a questão da mão-de-obra ao automatizar grande parte do trabalho do Security Awareness Officer (SAO), lhe provendo até mesmo consultoria especializada através da equipe Eskive Advisors, diferencia-se no mercado por ser 100% orientada a dados.
Com a plataforma, é possível metrificar a Média de Comportamento Inadequado (MCI) e também a Média de Engajamento Educacional (MEE) tanto a nível individual para cada colaborador quanto a nível setorial, identificando os departamentos mais problemáticos. Tudo isso pode ser visualizado em tempo real, em um benchmarking histórico, em um quadrante de fácil compreensão e com comparações com outras corporações de tamanho e core business similares.
Traga todos para a “festa”
Já comentamos anteriormente sobre outro desafio muito comum em segurança da informação: a falta de participação da área na mesa da alta diretoria. Para garantir um orçamento complacente e manter seu programa de gestão de risco humano em dia, é essencial garantir que a empresa enxergue a proteção de dados de maneira verticalizada, e não “top-to-down”.
Isso significa envolver todos os departamentos, com seus devidos gestores, nos esforços e iniciativas que compõem a estratégia de segurança da informação. Não permita que, dentro da empresa, o tema seja tratado como “algo do TI”; todos devem compreender a criticidade da conscientização dos colaboradores, dos Recursos Humanos ao Marketing, passando pelo Comercial e Financeiro.
Levando o assunto para a mesa mais alta, conseguimos construir aos poucos uma cultura de segurança centrada no ser humano (human-centric security), o que naturalmente vai gerar maior facilidade na liberação de budget para as ações necessárias.
Podemos lhe ajudar! Entre em contato com a Eskive, converse com nossos especialistas, conheça cases de sucesso e entenda como nossa metodologia pode auxiliar a sua companhia a gerenciar o risco humano de forma mais eficiente e concreta.
