/Rectangle%20239.png?width=13&height=13&name=Rectangle%20239.png){kind=small}
Já nenhuma empresa encara a cibersegurança como algo opcional. Empresas de todas as dimensões* sabem que proteger os seus ativos digitais e operações requer um orçamento adequado para IT e, consequentemente, para cibersegurança.
Então, como deve ser definido e gerido esse orçamento de cibersegurança? Que diferentes abordagens e componentes devem ser considerados para pequenas, médias e grandes empresas? O responsável de Ciberdefesa da Alter Solutions e diretor da subsidiária no Canadá, Nabil Diab, ajuda a esclarecer estas e outras dúvidas comuns.
Todas as empresas devem ter um orçamento para cibersegurança?
Bem... sim e não. Idealmente, sim, mas em termos práticos o tamanho e o volume de negócio da empresa ditam se essa deve ser, de facto, uma prioridade. O Nabil explica: “Empresas muito pequenas não devem, inicialmente, ter um orçamento dedicado à cibersegurança. Devem começar por pensar em atribuir um orçamento adequado para IT. Para pequenas empresas no geral, depende do volume de negócio. E para grandes empresas, sim, é essencial”.
Qual é o papel de um CISO neste desafio?
Um Chief Information Security Officer (CISO) é a pessoa responsável pela segurança global dos ativos de uma empresa. É, portanto, da sua responsabilidade reunir o orçamento necessário para fazer face ao risco de ciberameaças.
“Quando uma empresa não tem orçamento suficiente para cibersegurança, é porque ou o CISO não conseguiu explicar eficazmente à administração os riscos de cibersegurança de um baixo orçamento, ou porque a direção geral gosta do risco e não tem problemas com isso”, esclarece Nabil.
Também faz parte do trabalho de um CISO rever regularmente o orçamento de cibersegurança necessário, de acordo com uma análise contínua de risco.
Como os CISO gerem os seus orçamentos
Como qualquer orçamento de outro departamento, o orçamento de um CISO divide-se geralmente em três áreas principais: pessoas, tecnologias e serviços. Dependendo da estratégia do CISO e da área de atividade da empresa, alguns investirão mais em pessoas, enquanto outros em tecnologia ou serviços.
O Nabil destaca um facto curioso sobre isto: “Geralmente, as empresas que investem mais em tecnologia são as que têm o orçamento mais baixo para cibersegurança, porque as ferramentas de IT são mais baratas do que a expertise em cibersegurança, e assim podem mais facilmente cumprir requisitos para estarem em conformidade”. Aqui estão alguns exemplos contrastantes:
- Administração
No setor público, as organizações investem muito mais em tecnologia porque não podem pagar o salário apropriado aos melhores especialistas. Isto significa que, em alternativa, investem em produtos de IT. - Banca
As operações bancárias, por outro lado, são baseadas no digital, o que significa que a sua exposição ao risco é elevada, e consequentemente também o seu orçamento de cibersegurança. Estas instituições já têm acesso à melhor expertise e ferramentas, por isso é natural que um CISO aloque uma grande parte do orçamento às pessoas.
O que deve cobrir um orçamento de cibersegurança?
As pequenas empresas devem priorizar…
… soluções Cloud e SaaS (Software-as-a-Service), em vez de utilizarem ferramentas no local, uma vez que provavelmente não terão as competências necessárias para as protegerem. Além disso, acrescenta o Nabil, “as soluções Cloud e SaaS já incorporam um nível mínimo de segurança. A maioria das pequenas empresas hoje trabalha com a Microsoft, por exemplo, que inclui o Entra ID”, uma solução de gestão de identidades e acessos que vem com um nível predefinido de proteção.
Uma das funcionalidades principais do Entra ID, que todas as empresas devem implementar, é a Autenticação Multifator (MFA). “É muito importante e diminui muito o risco de ciberameaças”, garante Nabil.
A segunda prioridade para pequenas empresas é uma solução de Endpoint Detection and Response (EDR), que é crucial para proteger todos os terminais numa rede corporativa.
As grandes empresas, por outro lado…
...já têm praticamente todo o arsenal de ferramentas clássicas de cibersegurança, mas segundo o Nabil, aquelas que querem ir mais além e garantir proteção contra ameaças mais avançadas estão a focar-se em duas áreas principais:
- Produtos inovadores
Inclui soluções baseadas em Inteligência Artificial (IA). Um exemplo disto é o User and Entity Behaviour Analytics (UEBA), que analisa o comportamento do utilizador para detetar anomalias. - Personalização de produtos
As empresas alocam orçamento para melhorar a configuração das ferramentas existentes, construir conectores personalizados, desenvolver conjuntos de regras internos, entre outras medidas.
Investir internamente ou fazer outsourcing?
Uma vez mais, tamanho, volume de negócio e orçamento são fatores-chave a considerar. As pequenas e algumas médias empresas simplesmente não conseguem reunir a expertise necessária para construir e manter o seu próprio Centro de Operações de Segurança (SOC – Security Operations Centre), por isso a melhor relação qualidade-preço está sempre no outsourcing de Managed Security Services.
“Assumindo uma cobertura 24/7, as empresas simplesmente não conseguem gerir um SOC com menos de 1 milhão de euros por ano, na Europa. Se o fizerem, significa que não têm a expertise e as pessoas certas. Além disso, um SOC é apenas uma parte da cibersegurança – também é preciso considerar todos os aspetos organizacionais, gestão de acessos, revisão de arquitetura, etc.”, argumenta Nabil.
Quando as empresas atingem uma certa escala, então podem considerar mudar de estratégia. “Quando têm alguns milhares de colaboradores e o orçamento certo, as organizações pode começar a considerar uma abordagem híbrida. Isto significa ter algumas pessoas internas capazes de gerir incidentes, sendo ajudadas por uma empresa externa que trará a expertise em falta”, explica o nosso responsável de Ciberdefesa.
Apenas grandes empresas multinacionais são geralmente capazes de gerir o seu próprio SOC, mas precisam de ter em mente que é um passo muito dispendioso e demorado, pois envolve muita expertise, competências de gestão e logística. “Quando têm um fornecedor de cibersegurança, as empresas podem pedir um SOC e dentro de um mês está tudo a postos. Se o fizerem sozinhas, levará 2, 3 ou 4 anos até estar operacional. Portanto, a chave é pensar a longo prazo e explicar à administração as diferenças principais entre investir em expertise interna completa, optar por uma abordagem híbrida ou subcontratar totalmente Managed Security Services”, afirma Nabil.
A pergunta de um milhão de euros: que percentagem do orçamento de IT deve ser alocada à cibersegurança?
Todas as empresas suficientemente grandes para terem um orçamento de cibersegurança (e um CISO) devem ter, pelo menos, 10% do orçamento de IT alocado a este fim. “Se for menos de 10%, não é suficiente”, assegura o nosso responsável de Ciberdefesa. “Se, por outro lado, conseguirem chegar a 25%, então têm definitivamente um bom CISO que apresentou argumentos sólidos à administração”.
Com que frequência deve ser revisto um orçamento de cibersegurança?
Os CISO devem rever o risco da empresa todos os anos e ajustar o orçamento de cibersegurança em conformidade. “Tem de o fazer todos os anos”, aconselha Nabil, “porque o risco não é sempre o mesmo, há novas vulnerabilidades, atores e fatores geopolíticos também. Por exemplo, o risco de uma empresa ucraniana não é o mesmo agora que era há 3 anos”.
As empresas hoje, especialmente aquelas com um CISO, estão cada vez mais a adotar esta abordagem proativa à cibersegurança. No entanto, um número indesejável de empresas ainda mantém uma abordagem reativa: “Muitas empresas ainda investem em reação a incidentes, por isso só aumentam o seu orçamento de cibersegurança quando as suas operações são comprometidas. Isto não é uma boa estratégia”, avisa Nabil.
O futuro em ascensão dos orçamentos de cibersegurança
Espera-se que os orçamentos de IT ocupem cada vez mais espaço nos orçamentos globais das empresas. Logo, naturalmente, os orçamentos de cibersegurança seguirão esta tendência e continuarão a aumentar também, pois os riscos e as ameaças continuarão a aparecer.
Enquanto isto acontece, o Nabil prevê outra tendência de força oposta. “Poderemos assistir à integração de algumas soluções nas empresas, que são realmente interessantes e poderão baixar um pouco o orçamento. Soluções de IA, por exemplo, que podem substituir parte dos funcionários”.
Um bom exemplo disto é o que está a acontecer dentro dos SOC. “Até há cerca de 3 anos, tínhamos três níveis de Analistas SOC: L1, L2 e L3. O L1 já não existe porque foi substituído por ferramentas definitivamente mais baratas. Talvez amanhã o L2 também desapareça. Não é bom para os recursos humanos, mas é uma solução que pode limitar o orçamento de cibersegurança e aumentar a proteção. Não estou a dizer que isto vai resolver o problema do aumento dos orçamentos de cibersegurança, mas é uma oportunidade de usar ferramentas mais avançadas que nos podem ajudar a enfrentar novas ameaças sem gastar mais dinheiro”, conclui Nabil.
* Para efeitos deste artigo, consideramos:
- Pequenas empresas: Menos de 500 colaboradores.
- Empresas médias: 500 - 10.000 colaboradores.
- Grandes empresas: Mais de 10.000 colaboradores.
Completa esta leitura com este artigo anterior escrito pelo Nabil.
