Friday, May 30, 2003

ROSI: Retorno sobre Investimentos em Segurança da Informação

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

Aclamado sobre a sigla ROSI – “Return on Security Investments”, a aversão ao risco de investimentos onerosos vem fazendo com que o Security Officer fique cada vez mais hábil no papel de justificar a implementação dos controles de segurança da informação.
A palavra de ordem na ciranda da proteção é “coerência”; dar espaço a tecnologia ou conceito que atenda adequadamente o controle do risco sem esquecer da nossa velha conhecida relação “custo/benefício”.

As diversas tecnologias de firewall, antivírus, IDS, controle de acesso físico e suas diversas configurações e características tornam árdua a tarefa de sacudí-los em um mesmo cesto e tirar o ticket com a solução que atenda de maneira eficiente pelo menor preço. Não menos complicado é justificar à Alta Administração a necessidade de se investir em uma tecnologia de segurança, porque afinal de contas “Nunca houve vazamento de informações ou paradas significantes no processo de negócio, por que deveríamos investir tanto?”. Só notamos a importância do capacete quando caímos da moto. E nós – profissionais de segurança -, ficamos a procura da fórmula-mágica, capaz de justificar o que parece tão evidente.

Bem, quando falamos em retorno sobre investimento, e o objetivo desta medição é segurança da informação, cabe lembrar que segundo estatísticas do Computer Security Institute e do FBI, no ano de 2002, 90% das empresas indagadas identificaram vulnerabilidades nos seus sistemas de tecnologia da informação. Com o avanço da tecnologia, o ciclo de desenvolvimento fica cada vez mais curto, aumentando a janela de vulnerabilidade dos sistemas. Esta tendência tende a se agravar nos próximos anos.

Uma vez que a gestão do risco está migrando de ser uma responsabilidade da área de tecnologia, passando a ser compartilhada de toda a organização – assumindo caráter estratégico -, faz-se necessária a instituição de métricas claras para que o diretor financeiro possa identificar de maneira tangível qual o verdadeiro retorno sobre o investimento.

Na verdade, a grande confusão gira em torno ao uso de uma regra de identificação do ROI (return on investment) através do valor o investimento menos o custo do incidente que tomaria espaço caso não existisse o controle contratado. A métrica indicada para mensurar o retorno econômico do investimento é a TIR (taxa interna de retorno). Isso pode facilitar bastante a compreensão do processo de investimento em determinado controle ou tecnologia.

A pergunta básica que leva a mensuração do valor médio para investimento na administração do risco é: qual o impacto decorrente à ocorrência de determinado risco? Para isso faz-se necessária uma análise de risco, que deve ser o ponto de partida para a definição da regra de investimento. Quando da escolha de um controle, muito cuidado na coleta de informações financeiras. Recomenda-se sempre observar, entre outros:

- Valor total das licenças;
- Valor da manutenção pelo período pós o vencimento da manutenção de garantia;
- Necessidade de treinamento de usuários ou administradores;
- Necessidade de contratação de consultoria;
- Necessidade de produtos extras para o funcionamento do controle;
- Restrições legais do uso ou restrições por país;
- Valor para renovação do contrato;
- Custo do chamado em horários fora do expediente.
Estas são informações que devemos passar ao analista financeiro para que possamos estar certos do custo real da solução.

A medida em que as organizações forem investindo em um sistema de gestão do risco, a tendência é que seja necessário cada vez menos investimento para manter o risco administrado. Conforme indicado na BS 7799 parte 2, o modelo PDCA (plan, do, check, act) permite a organização investir em controles que reduzam os riscos a níveis aceitáveis pela Alta Administração, significa assumir uma parte do risco – o risco residual, e controlar a outra parte.

É muito importante também que o Security Officer, em conjunto com o CFO (chief financial officer) ou diretor financeiro, ddeterminem qual o período de payback do projeto em vista do custo de capital da sua organização configurando o VPL (valor presente líquido). Isso pode variar muito de uma empresa para outra, e pode colaborar bastante no momento de determinar métricas para medição de resultados esperados e agendamento de fases subseqüentes em projetos de implementação. Permitirá à empresa um planejamento de curto, médio e longo prazo, acompanhando as tendências de evolução no seu cenário. Talvez através desta medição seja possível dizer com firmeza se a segurança é realmente parte de valor na cadeia produtiva do negócio da empresa.

No comments: