Sim, ROI em Segurança é possível
*Leonardo Carissimi
Avaliar o Retorno sobre o Investimento (ROI) de seus projetos sempre foi um desafio para os Gestores de Segurança, principalmente quando da busca de justificativa para realizar seus objetivos mais prioritários. Nesse processo, modelos de Gestão de Riscos sempre foram vistos como aliados e abordagens distintas já foram sugeridas tendo por base o caráter formal dos mesmos. Mas ainda que eles sejam o "melhor amigo" do Gestor de Segurança, não são a melhor ferramenta para endereçar o tema e por isso vêm falhando.
A disciplina de Gestão de Riscos dá estrutura para o processo de Identificação, Análise, Valoração e Decisão sobre os Riscos. Fornece métodos e indicadores que monitoram a evolução do risco com o passar do tempo. A ideia é ter um modelo consistente e que forneça ao longo de diversas leituras resultados comparáveis entre si, e que portanto desenhem uma curva apontando o caminho que se segue e permitindo o estabelecimento de metas. O processo, no entanto, tem um problema: invariavelmente as métricas do processo de Gestão de Risco são subjetivas.
Risco é Impacto versus Probabilidade. O Impacto pode ser medido objetivamente em algumas circunstâncias, mas não em todas. Por exemplo, suponhamos um incidente de segurança que desabilite os pontos de venda de um grande varejista por 4 horas, em momento de pico: a perda de faturamento pode ser estimada. Já o dano à imagem, a insatisfação dos clientes e seus efeitos futuros, são impactos subjetivos que não podem ser valorados precisamente com uma fórmula. A probabilidade, mesmo sendo algo de natureza tão matemática, sofre de problema parecido. Tipicamente funcionará com eventos frequentes, pouco relevantes, onde uma probabilidade razoavelmente confiável pode ser extraída do histórico. Eventos de grandes proporções, no entanto, tendem a ser mais raros e portanto seu histórico pobre tornará desafiador calcular probabilidade de que ocorram.
No final do dia, o que Gestores de Segurança têm a oferecer à Gestão do negócio são "Índices de Segurança" abstratos e que não lhes dizem muito.
Isso não está errado e esta ferramenta é sua grande aliada, portanto deve continuar sendo usada. Mas o objetivo deve ser o de adotar enfoques inovadores que simultaneamente aumentem a segurança e permitam reduzir custos. É certo que mensurar resultados objetivamente nem sempre será possível, mas um olhar atento aos centros de custos e de receita da empresa ajuda a identificar oportunidades. E também a busca por novas tecnologias de segurança, que foquem não apenas na mitigação de riscos mas em melhorias operacionais.
Soluções avançadas de micro segmentação, por exemplo, entregam maior segurança ao reduzir a superfície de ataque disponível aos criminosos cibernéticos. Em caso de invasão ou contaminação com seus malwares, o dano é contido no micro segmento onde está o equipamento comprometido. É barrado todo tráfego que visa equipamentos fora do micro segmento, naquele movimento lateral conhecido como "leste-oeste", ou seja, aquela movimentação que o criminoso executa dentro do Data Center invadido para identificar outros equipamentos de mais alto valor.
Esse tipo de controle mitigará diversos riscos em seu modelo de Gestão de Risco, tais como: isolamento de Windows XP, Windows Server 2003 e qualquer outra plataforma cujo fabricante não mais fornece suporte e atualização, mas que você precisa para a operação do negócio; segregação de tráfego sensível requerida por normas e certificações, entre as quais PCI/DSS (para segurança de dados de cartões de crédito); redução dos riscos de vazamento de informações na Computação em Nuvem; proteção de dados armazenados e transmitidos por aplicações móveis, entre outros.
Mas não é só uma questão de melhorar as métricas de gestão de risco. Além de aumentar a segurança, a mesma solução de micro segmentação pode fornecer resultados mensuráveis economicamente, tais como: postergar ou evitar a troca de firewalls, roteadores e switches; reduzir o custo de administração das regras dos firewalls; reduzir o custo de administração de VLANs; permitir a troca de links dedicados (LP ou MPLS) por links compartilhados de internet, com igual segurança e grande economia; evitar a compra de novos servidores, ao viabilizar o uso de solução baseada em computação em nuvem; permitir desconto em seguros ou taxas cobradas por terceiros (exemplo: administradoras de cartões de crédito) ao conquistar certificações reconhecidas pelo mercado; reduzir a quantidade de ferramentas de segurança usadas, e assim por diante.
Em tempos de cenário econômico desafiador, as pressões tendem a aumentar. É preciso fazer mais com menos, e temas como justificativa de projetos de segurança que sempre foram áridos tornam-se ainda mais críticos. No entanto, algumas tecnologias, como a micro segmentação, podem ser aliadas ao entregar simultaneamente mitigação de riscos e ganhos operacionais mensuráveis.
* Leonardo Carissimi lidera a Prática de Segurança da Unisys na América Latina