Como priorizar um orçamento não é uma pergunta simples de ser respondida. Essas 11 estatísticas apontadas pelos CISOs podem ajudá-lo com seu orçamento de segurança em 2020.
No entanto, há muitos insights que podemos colher em estudos do setor para saber como os CISOs (Chief Information Security Officer) estão gastando seus orçamentos atualmente.
O custo médio global de uma violação de dados atualmente é de US$ 3,92 milhões – um aumento de 12% desde 2014. Felizmente, o orçamento médio de segurança cibernética também está aumentando justamente para um controle maior dos riscos. Veja aqui na recente pesquisa 2019 Cost of a Data Breach Report da IBM.
Como informação de apoio, segue abaixo 11 principais estatísticas, baseadas em pesquisas da área, sobre os principais investimentos dos CISO que podem ajudá-lo a pensar sobre seu próprio orçamento de segurança cibernética para 2020.
1. Os orçamentos de segurança cibernética estão aumentando
Em todo o mundo, os gastos com segurança de TI em 2019 foram projetados para crescer 8,7% em relação aos números de 2018, de acordo com uma previsão do Gartner. A Cybersecurity Ventures previu que os gastos globais com segurança cibernética excederão US$ 1 trilhão cumulativamente de 2017 a 2021.
2. Serviços de segurança estão superando o software
O ano de 2019 foi apelidado de ano de serviço de segurança pela Forrester. Quatro vezes mais orçamento está sendo direcionado para serviços de segurança cibernética do que qualquer outra coisa, e essa tendência é um desenvolvimento relativamente recente. Os gastos com serviços de segurança superaram outros investimentos pela primeira vez em 2018.
Os analistas do Gartner também previram que os serviços de segurança serão responsáveis por 50% dos orçamentos de segurança cibernética até 2020. As três principais categorias de investimento em 2019 foram projetadas para:
• Serviços de segurança (US$ 64,2 bilhões)
• Proteção de infraestrutura (US$ 15,3 bilhões)
• Equipamento de segurança de rede (US$ 13,2 bilhões)
3. Preocupações com a privacidade geram gastos com serviços
Existem inúmeros fatores que impulsionam o rápido crescimento do investimento em serviços de segurança, incluindo talentos e pressões regulatórias. Investir em serviços pode reduzir a falta persistente de talentos, e os CISOs podem terceirizar totalmente os recursos para provedores de serviços de segurança gerenciados (MSSPs) ou contratar especialistas para treinar a equipe interna.
Como observou a previsão do Gartner para 2018, as regulamentações de privacidade impulsionarão pelo menos 10% do crescimento do investimento em serviços este ano, à medida que as empresas recorrerem a especialistas externos para obter ajuda em áreas como gerenciamento de identidade e acesso (IAM), governança e administração de identidade (IGA) e prevenção contra perda de dados (DLP).
4. Os CISOs querem visibilidade, alinhamento e análise
Pesquisas mostram que há pouco mistério sobre porque os CISOs estão gastando mais com as bênçãos do conselho executivo. Um orçamento maior de segurança cibernética é uma ferramenta para lidar com riscos de segurança, necessidades de negócios e mudanças no setor. Os CISOs estão focados em criar um ecossistema de segurança mais bem integrado para identificar ameaças em tempo real, promover uma cultura de segurança mais estratégica e combater os riscos internos. Segundo a Forbes, as prioridades do CISO em 2019 incluem:
• Desenvolver uma plataforma para visibilidade e análise de eventos de segurança
• Alinhar operações de segurança com a TI por meio de automação e orquestração
• Lidar com riscos internos com análise comportamental do usuário (UBA)
5. O C-Suite está preocupado com conformidade, riscos de negócios digitais
Os CISOs estão mais próximos do C-Suite do que nunca. Embora ainda haja uma divisão entre os CISOs e outros executivos, essa lacuna se tornou menor. A PwC observou que a maioria dos CEOs concorda que os riscos cibernéticos são uma ameaça às perspectivas de crescimento de sua organização e, segundo a BDO, cerca de um terço dos membros do conselho executivo são informados sobre a segurança cibernética da empresa pelo menos uma vez a cada trimestre.
Os CISOs e executivos não técnicos têm prioridades diferentes para o orçamento cibernético. A maioria dos executivos vê as regulamentações e a conformidade como fatores principais para os gastos em segurança cibernética. Os tomadores de decisão de negócios também estão preocupados em garantir que os investimentos em segurança atendam aos riscos comerciais digitais, de acordo com o Gartner.
6. Gastos de segurança podem acelerar a transformação digital
Os CISOs podem colaborar mais efetivamente com o C-suite, entendendo as prioridades dos executivos não técnicos. A maioria dos executivos em 2019 se preocupa em facilitar o caminho para garantir a transformação digital.
Uma pesquisa recente do CIO constatou que os tomadores de decisão estão preocupados com a eficiência do tempo, o atrito comercial e a minimização de tempo e recursos desperdiçados. Os líderes de segurança cibernética têm a oportunidade de iniciar conversas sobre os riscos de transformação digital insegura. Conceitos como segurança por design ou Secure DevOps não são apenas “questões de segurança” – as transformações digitais seguras podem proporcionar melhores experiências aos clientes e serviços digitais mais avançados.
7. A cultura de segurança é um objetivo principal
A maioria das violações de dados é causada por pessoas ou falhas de processo. Conversas compartilhadas sobre risco e orçamento podem ajudar a empresa a trabalhar em direção a uma cultura de segurança mais eficaz e a metas de risco compartilhadas. Os CISOs devem estar preparados para justificar gastos, abordando lacunas no ecossistema de segurança existente. O BCG recomendou o uso dos três tópicos a seguir para orientar as conversações multifuncionais sobre o orçamento:
• Qual é o nosso apetite por riscos?
• Onde nossos investimentos terão o maior impacto?
• Como obtemos valor dos investimentos existentes?
Os CISOs precisam estar preparados para lidar com casos em que ferramentas ou soluções não se traduzem em recursos ou risco reduzido. Talvez o mais importante é que eles também devem estar preparados para abordar as razões pelas quais os investimentos anteriores não foram recompensados. Essas conversas podem ser uma oportunidade de apresentar um caso de negócios para um ecossistema de segurança integrado. Apenas 39% das empresas acreditam ter alcançado forte automação e orquestração entre os principais processos de segurança e resposta a incidentes, de acordo com a SANS.
8. Os serviços provavelmente permanecerão no topo
Nos próximos 12 meses, os analistas preveem que os investimentos em serviços de segurança cibernética continuarão sendo a principal categoria de investimento e continuarão a crescer. As projeções de cinco anos exigem um crescimento anual composto de dois dígitos no mercado de segurança cibernética, com um crescimento particular na criptografia de dados.
9. Comparar o orçamento de segurança cibernética não é simples
É muito difícil comparar os gastos com segurança cibernética através de fatores, como setor ou tamanho da empresa. O BCG informou que as partes dos orçamentos de TI dedicadas à segurança cibernética variaram 300% entre os três principais estudos de algumas das maiores empresas. No entanto, definir gastos com segurança cibernética não é fácil.
A cibersegurança eficaz envolve considerações de TI, riscos, instalações e conformidade. Os CISOs podem trabalhar com os COOs ou CHROs em medidas de segurança conjuntas que beneficiam toda a empresa, como atualizações de segurança das instalações ou verificações mais rigorosas dos antecedentes dos funcionários. Embora as iniciativas de risco compartilhado sejam claramente benéficas, a natureza multifuncional do risco dificulta a comparação precisa dos gastos com segurança.
10. Investimentos cibernética na área de saúde ficam para trás
As projeções de gastos para os cinco anos do IDC (categorizados por setor) mostraram um crescimento mais rápido nos setores de governo, manufatura, educação e finanças. A área de saúde ainda para trás, apesar da pesquisa de ameaças revelar que as organizações de saúde são desproporcionalmente mais ameaçadas.
11. PMEs gastam menos em segurança
Da mesma forma, as organizações empresariais dedicam mais orçamento à segurança cibernética do que as pequenas e médias empresas (PMEs). Uma pesquisa da Keeper Security de empresas com 500 funcionários ou menos constatou que a maioria não possui uma equipe dedicada de segurança cibernética ou um plano de resposta a incidentes. Apenas 7% dos CEOs de pequenas e médias empresas dizem que um ataque cibernético é “muito provável”, apesar do fato de 67% das organizações menores terem sido alvo no ano passado. Nenhuma organização é imune a subestimar os riscos de crimes cibernéticos.
Como priorizar seu orçamento em 2020?
Embora os CISOs tenham mais orçamento do que nunca, é necessário se proteger contra gastos excessivos. A pesquisa confirma que os CISOs de hoje estão gastando em direções diferentes dos anos anteriores. Os orçamentos são cada vez mais direcionados a serviços e iniciativas multifuncionais para criar uma melhor cultura de segurança – ao invés de implantar softwares. A colaboração com o C-suite pode ajudar os CISOs a direcionar o orçamento para um ecossistema de segurança mais bem integrado e a abordar prioridades em torno de riscos, conformidade e transformação digital.
Uma pesquisa da Safeway no Brasil, em relação ao atendimento da norma BC 4.658 para instituições financeiras, mostra que a grande maioria 65% possui uma gestão de riscos e vulnerabilidades porém menos da metade alta administração tem claramente se responsabilizado pela segurança da informação em suas organizações.
Para Umberto Rosti da Safeway, os CISOs precisam mostrar resultados com o básico, que é onde acontecem os grandes vazamentos de dados e ataques, além de ser a exigência das novas regulamentações como LGPD, BC 4.658, entre outras. Por isso a tendência é serviço e não mais a aquisição de sistemas caros e complexos para manter.
*Texto baseado no artigo: https://securityintelligence.com/articles/11-stats-on-ciso-spending-to-inform-your-2020-cybersecurity-budget/
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 17 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!