O Relatório “2018 Cost of a Data Breach Study: Global Overview” do Instituto Ponemon, publicado em julho de 2018, revelou que o custo médio de cada violação de  dados sofrida por empresas brasileiras nos últimos 12 meses foi de US$ 1,24 milhão, com incidentes que variam de e-mails fraudulentos, vírus, spyware e malware, até tentativas de invasão e ransomware.

Quanto maior o vazamento, isto é, quanto mais dados foram roubados, maior o custo da violação.

Com todas essas evidências da regularidade dos ataques cibernéticos e roubo de dados e da grande quantia que é perdida pelas organizações, a segurança cibernética deve ser uma das principais prioridades da alta administração, certo? Não exatamente.

Embora dois terços das empresas pesquisadas tenham alguma forma de orçamento para a segurança cibernética, para muitos líderes de TI o que é investido atualmente não é suficiente. Então, como você responde aos argumentos da diretoria da empresa em relação a outros investimentos em segurança cibernética e os convence da importância deles?

A segurança cibernética não é relevante para nossa empresa

Este é um argumento comum, particularmente nas empresas de médio e pequeno porte. Para as organizações que ainda realizam uma parte substancial de seu trabalho off-line, é difícil entender por que a segurança cibernética é tão importante.

No entanto, qualquer empresa que trate dados pessoais, sejam de funcionários ou de clientes, precisa investir em segurança cibernética, isto é, precisam garantir que os dados armazenados e tratados estão em segurança, especialmente para atender aos requisitos da nova legislação já aprovada no Senado, que entrará em vigor em 2020.

Seus diretores podem não acreditar que os dados de clientes tratados por sua empresa tenham qualquer valor, mas de acordo com as novas regras da Lei Geral de Proteção de Dados (LGPD), qualquer informação que possa identificar uma pessoa será considerada como dado pessoal, incluindo nome, local e até mesmo suas convicções religiosas, endereço IP e cookies.

Convença sua diretoria com referência a esse argumento, abordando o assunto com base em dois dos seus maiores medos: problemas financeiros e perda de reputação. Explique as multas e sanções que a empresa pode enfrentar caso se descubra que não tem a proteção adequada contra violações de dados, juntamente com o risco de perdas econômicas e financeiras, além da possibilidade de prejuízo da reputação e perda de clientes.

Não podemos nos dar ao luxo de contratar um especialista em segurança cibernética

Sua diretoria não estará considerando apenas os custos envolvidos na compra de sistemas de segurança cibernética, mas os custos de empregar ou treinar alguém para implementá-los.

Este é um argumento difícil de combater e você simplesmente não conseguirá contornar o fato de que o dinheiro precisará ser gasto. Uma opção a considerar é terceirizar todas as suas necessidades de segurança cibernética. A empresa não só economizará em custos trabalhistas, como também contará com a experiência e o conhecimento adequados de uma equipe de especialistas confiáveis.

Eu não sabia que estávamos em risco

Mais de um quinto dos gerentes seniores das organizações nunca recebeu uma atualização sobre questões de segurança cibernética e não conhecem o risco, por isso não percebem a ameaça e o significado.

Você pode aumentar rapidamente suas chances de garantir novos investimentos, simplesmente desenvolvendo e encaminhando relatórios para a diretoria, detalhando o nível de risco, possíveis ameaças e propondo soluções.

Prefiro assumir o risco e gastar o dinheiro se houver um incidente

Essa é uma das coisas mais frustrantes que um profissional responsável pela segurança cibernética de uma empresa pode ouvir.

Muitas empresas acham que violações de segurança nunca acontecerão com elas, então por que deveriam investir? E mesmo que isso aconteça, certamente custará menos lidar com um incidente único do que investir em sistemas e equipes de segurança cibernética.

Se a sua diretoria apresentar este argumento, basta explicar as perdas financeiras e econômicas que a empresa poderia perder se uma violação de segurança fizesse com que a plataforma de e-mails ou as bases de dados da empresa parassem de funcionar, causando uma perda quase total de produtividade. Sem contar com prejuízos causados por roubo de dados armazenados pela empresa, multas enormes, perda de clientes e negócios causados pela imagem afetada, entre outros.

Se possível, baseie o seu argumento nas perdas projetadas se isso acontecer, e compare-as com os custos dos investimentos necessários em segurança cibernética. Logo ficará claro qual é a melhor opção.

Não sei por onde começar!

Pode ser que você não saiba de onde tirar essas informações, que não conheça a maturidade da segurança da empresa ou não consiga extrair relatórios que demonstrem o nível de risco a que estão expostos. Considere contratar uma consultoria especializada, para avaliar seus sistemas, nível de maturidade e levantar as informações corretas e necessárias para basear os seus argumentos para apoiar os projetos de segurança cibernética.

Investir inicialmente em uma consultoria especializada ajudará sua diretoria e conselho a entenderem o problema e dará a todos a confiança de que os investimentos são adequados e necessários.