Um dos grandes desafios dos Security Officers e, quando não somente destes, dos encarregados pela segurança da informação em grandes e médias organizações é o de justificar o investimento em hardware, software e consultorias especializadas, determinando um período de payback nos moldes dos ciclos de retorno sobre o investimento - ROI.
Não há nisso tanto mistério. O que falta é um modelo de plano, que atenda às necessidades de segurança da informação já bem conhecidas pelo mercado de tecnologia. Adotando-se uma estratégia orientada ao market-share, torna-se evidente a importância da segurança da informação como valor diferencial na estruturação e consolidação de uma guideline capaz de colaborar na captação de novos clientes, fornecedores e parceiros.
Duas das maneiras mais conhecidas e utilizadas pelo gerentes de segurança da informação para o cálculo do ROI são as análises de custos por incidente (individualizada por evento), e a análises de custos acumulados (geralmente mensal ou anual). Este cálculo serve para apresentar o retorno aos acionistas, apontando o patrimônio líquido do período, dividido pelo patrimônio líquido sem o resultado pretendido.
Single Loss Expectancy - SLE
A primeira destas técnicas é chamada de Single Loss Expectancy (SLE). O cálculo do SLE mensura em termos financeiros o impacto de um incidente. Para início devemos listar todos os Ativos (tudo aquilo que é importante para a organização) e identificar as ameaças e vulnerabilidades existentes. Não devemos esquecer de potencializar o valor do risco pela importância do Ativo no contexto da organização (por exemplo, o computador utilizado pelo estagiário não tem a mesma importância que o do gerente de financeiro, mesmo que o hardware seja igual).
O índice resultante desta avaliação é o famoso BITMAP (Business and Information Technology Map) – para unidades de negócio, e AMAP (Asset Map) para os Ativos.
Agora, que iniciaremos com exemplos de cálculos, é indispensável que todas as variáveis relacionadas abaixo sejam preenchidas pelo valor correspondente da sua organização, assim conseguiremos consolidar um plano com interferência real na apresentação dos resultados, conquistando desta forma a aceitação do grupo executivo.
Para o cálculo do SLE vamos considerar que uma empresa possui um sistema proprietário para administração do departamento financeiro. Este sistema foi desenvolvido ao longo de um ano por uma equipe de cinco pessoas que utilizavam cento e sessenta horas por mês. Com um salário de R$ 3.000,00 para cada um, estimamos um custo/hora na casa dos R$ 20,00 (acrescidos encargos, benefícios e outros).
Uma vulnerabilidade no servidor principal deste sistema, explorada por uma ameaça - funcionário insatisfeito, hackers através da internet; sabotagem -, causaria danos que na melhor das hipoteses dispenderiam o esforço de revisão de todo o código fonte da aplicação.
O prejuízo deste sistema pode ser calculado da seguinte forma:
8 (horas/dia) x 240 (dias/ano) x 5 (número de pessoas) = 9.600 horas
R$ 20,00 (custo/hora) x 9.600 (horas) = R$ 192.000,00
Prejuízo total de R$ 192.000,00 - 100%. Destruição total dos arquivos, inexistência ou indisponibilização das cópias de segurança (back-up). Isto é quanto custa o Ativo do exemplo supracitado. Agora só resta decidir o quanto vale a pena investir em seguranca, pois já possuímos uma métrica para a definição de um prejuízo total.
Não computamos no exemplo acima fatores que causam a perda direta de marketshare como: roubo e divulgação de informações confidenciais e ataque à imagem da empresa.
Estes pontos que até aqui nos amedrontam como riscos contra os quais ninguém está 100% livre podem se tornar diferencial competitivo na conquista de mercado.
Annualized Loss Expectancy - ALE
O cálculo de nossa segunda força de argumentação, instrumento capaz de mensurar os resultados de um bom projeto ou produto de segurança da informação, é baseado em incidentes percebidos ao longo de um período. Esta fórmula equaciona a Single Loss Expectancy, e o número de eventos ocorridos em um determinado espaço de tempo.
SLE x número de ocorrências durante um ano = Annualized Loss Expectancy Neste modelo de cálculo trabalharemos em cima de duas realidades bastante comuns a organizações que já utilizam a Internet como meio de comunicação entre funcionários ou como plataforma de novos negócios.
A utilização dos recursos de conectividade para o desempenho de atividades sem relação alguma com o negócio da organização, é sem dúvida motivo de preocupação. Salas de bate-papo e páginas de mulheres nuas lideram o ranking das “atrações” que mais tomam tempo dos funcionários (diminuindo a produtividade) e banda da organização (tornando a conexão com o mundo insuportavelmente lenta).
Na ponta do lápis os números assustam. Imaginando o seguinte cenário: uma empresa com 500 funcionários, onde 75% possuem acesso a rede. Cada um destes 375 funcionários utiliza uma hora por semana para “brincar na rede”. Com um valor/hora na faixa de R$ 10,00 ficamos com um prejuízo acumulado de:
375 (funcionários) x 1 (hora por semana) x 44 (semanas) = 16.500 horas
R$ 10,00 (custo/hora) x 16.500 (horas) = R$ 165.000,00
Vejam só! São 165.000,00 reais perdidos anualmente. Sem contar a utilização da banda contratada pela sua organização. Em alguns casos já constatei cerca de 60% de utilização indevida do link. Para quem pensa que a conexão está lenta e já imagina a contratação de um link maior, já pensou em avaliar o que passa pela sua rede?
Não há nisso tanto mistério. O que falta é um modelo de plano, que atenda às necessidades de segurança da informação já bem conhecidas pelo mercado de tecnologia. Adotando-se uma estratégia orientada ao market-share, torna-se evidente a importância da segurança da informação como valor diferencial na estruturação e consolidação de uma guideline capaz de colaborar na captação de novos clientes, fornecedores e parceiros.
Duas das maneiras mais conhecidas e utilizadas pelo gerentes de segurança da informação para o cálculo do ROI são as análises de custos por incidente (individualizada por evento), e a análises de custos acumulados (geralmente mensal ou anual). Este cálculo serve para apresentar o retorno aos acionistas, apontando o patrimônio líquido do período, dividido pelo patrimônio líquido sem o resultado pretendido.
Single Loss Expectancy - SLE
A primeira destas técnicas é chamada de Single Loss Expectancy (SLE). O cálculo do SLE mensura em termos financeiros o impacto de um incidente. Para início devemos listar todos os Ativos (tudo aquilo que é importante para a organização) e identificar as ameaças e vulnerabilidades existentes. Não devemos esquecer de potencializar o valor do risco pela importância do Ativo no contexto da organização (por exemplo, o computador utilizado pelo estagiário não tem a mesma importância que o do gerente de financeiro, mesmo que o hardware seja igual).
O índice resultante desta avaliação é o famoso BITMAP (Business and Information Technology Map) – para unidades de negócio, e AMAP (Asset Map) para os Ativos.
Agora, que iniciaremos com exemplos de cálculos, é indispensável que todas as variáveis relacionadas abaixo sejam preenchidas pelo valor correspondente da sua organização, assim conseguiremos consolidar um plano com interferência real na apresentação dos resultados, conquistando desta forma a aceitação do grupo executivo.
Para o cálculo do SLE vamos considerar que uma empresa possui um sistema proprietário para administração do departamento financeiro. Este sistema foi desenvolvido ao longo de um ano por uma equipe de cinco pessoas que utilizavam cento e sessenta horas por mês. Com um salário de R$ 3.000,00 para cada um, estimamos um custo/hora na casa dos R$ 20,00 (acrescidos encargos, benefícios e outros).
Uma vulnerabilidade no servidor principal deste sistema, explorada por uma ameaça - funcionário insatisfeito, hackers através da internet; sabotagem -, causaria danos que na melhor das hipoteses dispenderiam o esforço de revisão de todo o código fonte da aplicação.
O prejuízo deste sistema pode ser calculado da seguinte forma:
8 (horas/dia) x 240 (dias/ano) x 5 (número de pessoas) = 9.600 horas
R$ 20,00 (custo/hora) x 9.600 (horas) = R$ 192.000,00
Prejuízo total de R$ 192.000,00 - 100%. Destruição total dos arquivos, inexistência ou indisponibilização das cópias de segurança (back-up). Isto é quanto custa o Ativo do exemplo supracitado. Agora só resta decidir o quanto vale a pena investir em seguranca, pois já possuímos uma métrica para a definição de um prejuízo total.
Não computamos no exemplo acima fatores que causam a perda direta de marketshare como: roubo e divulgação de informações confidenciais e ataque à imagem da empresa.
Estes pontos que até aqui nos amedrontam como riscos contra os quais ninguém está 100% livre podem se tornar diferencial competitivo na conquista de mercado.
Annualized Loss Expectancy - ALE
O cálculo de nossa segunda força de argumentação, instrumento capaz de mensurar os resultados de um bom projeto ou produto de segurança da informação, é baseado em incidentes percebidos ao longo de um período. Esta fórmula equaciona a Single Loss Expectancy, e o número de eventos ocorridos em um determinado espaço de tempo.
SLE x número de ocorrências durante um ano = Annualized Loss Expectancy Neste modelo de cálculo trabalharemos em cima de duas realidades bastante comuns a organizações que já utilizam a Internet como meio de comunicação entre funcionários ou como plataforma de novos negócios.
A utilização dos recursos de conectividade para o desempenho de atividades sem relação alguma com o negócio da organização, é sem dúvida motivo de preocupação. Salas de bate-papo e páginas de mulheres nuas lideram o ranking das “atrações” que mais tomam tempo dos funcionários (diminuindo a produtividade) e banda da organização (tornando a conexão com o mundo insuportavelmente lenta).
Na ponta do lápis os números assustam. Imaginando o seguinte cenário: uma empresa com 500 funcionários, onde 75% possuem acesso a rede. Cada um destes 375 funcionários utiliza uma hora por semana para “brincar na rede”. Com um valor/hora na faixa de R$ 10,00 ficamos com um prejuízo acumulado de:
375 (funcionários) x 1 (hora por semana) x 44 (semanas) = 16.500 horas
R$ 10,00 (custo/hora) x 16.500 (horas) = R$ 165.000,00
Vejam só! São 165.000,00 reais perdidos anualmente. Sem contar a utilização da banda contratada pela sua organização. Em alguns casos já constatei cerca de 60% de utilização indevida do link. Para quem pensa que a conexão está lenta e já imagina a contratação de um link maior, já pensou em avaliar o que passa pela sua rede?
