Os CISOs entendem muito bem que o sucesso está em saber fazer investimentos inteligentes que equilibram inovação e agregam valor ao negócio (Crédito: Freepik)
2025 está cada vez mais próximo e as lideranças de segurança cibernética enfrentam o desafio de tentar expandir e aprovar orçamentos em que possam controlar investimentos crescentes em Inteligência Artificial, automação, nuvem e outras novas tecnologias. A transformação digital exige gastos estratégicos e otimização de custos. Os Chief Information Security Officers (CISOs) entendem muito bem que o sucesso está em saber fazer investimentos inteligentes que equilibram inovação e agregam valor ao negócio.
Os gastos globais com segurança da informação devem ultrapassar US$ 210 bilhões no próximo ano, com taxas anuais de crescimento de dois dígitos. A estimativa é que gastos com software de segurança vão crescer 15% e passar dos US$ 100 bilhões em 2025. Os gastos com serviços de segurança cibernética devem crescer quase 16% e mais 13% em segurança de rede. Parece muita coisa, mas levando em conta a implementação de sistemas, integração, pessoal técnico e treinamento, assim como os próprios projetos, fica apertado.
“Os orçamentos de segurança cibernética não aumentam proporcionalmente ao número de novas ameaças, ao aumento das dificuldades e dos desafios de um CISO”, explica Márcia Bolesina, sócia da área de Cybersecurity da EY e líder de práticas de riscos de Cibersegurança e Resiliência. As organizações, entretanto, precisam apoiar o orçamento do CISO, inclusive em termos de influência.
Os CISOs das organizações que prezam pelas melhores práticas e que encaram a cibersegurança como uma vantagem competitiva estão finalizando seus orçamentos, uma boa parte para trabalhar em etapas. A grande maioria dos CISOs (90%) fala em aumentar orçamentos e 75% preveem orçamentos maiores para software e contratação ou desenvolvimento de profissionais principalmente para IA e ML. As organizações vão precisar de conhecimento tecnológico e ferramentas para avançar em suas agendas digitais – e os CISOs estão atentos.
“O CISO tem que ter uma voz ativa na tomada das decisões estratégicas da organização, não somente nas decisões técnicas”, diz Márcia Bolesina. Ela reforça que, para a organização e para o próprio negócio, é muito melhor que a segurança cibernética seja pensada antes da implantação de uma nova solução ou tecnologia. “Por isso é importantíssimo que o CISO caminhe junto com todas as decisões estratégicas”.
Compreensão do cenário de ameaças e avaliação de riscos
O primeiro passo para construir um orçamento de segurança cibernética é realizar uma avaliação detalhada dos riscos e do cenário de ameaças. O relatório “EY Global Cybersecurity Leadership Insights 2023” destacou que a adoção de tecnologias emergentes, como IA e Machine Learning (ML), aumentou a exposição a novas vulnerabilidades. Em particular, os ataques cibernéticos aumentaram 75% nos últimos cinco anos, com previsões de que os custos relacionados a ransomware possam atingir US$ 265 bilhões até 2031.
Neste panorama, o CISO deve considerar as seguintes ações:
-
Mapear os principais ativos da organização e suas vulnerabilidades.
- Analisar o cenário de ameaças atual, desenhar um mapa futuro para identificar onde estão os maiores riscos.
- Classificar as ameaças por impacto potencial, garantindo que os recursos sejam alocados de acordo com o nível de risco.
Foco em tecnologias emergentes e automação
De acordo com a EY, as organizações que adotam IA e automação conseguem reduzir os tempos de resposta a incidentes em até 50%. A automação não apenas melhora a eficiência operacional, como também ajuda a lidar com a escassez de talentos em segurança cibernética, um problema crescente. Faz sentido, portanto, que os CISOs coloquem esse investimento em seu planejamento.
A partir da análise de 18 mil pesquisas acadêmicas e tendências de cibersegurança e de entrevistas aprofundadas com lideranças de cibersegurança, a EY indica estes caminhos para os CISOs:
- Investir em soluções de IA e automação para detectar e responder a incidentes de forma mais rápida e eficiente.
- Priorizar o uso de orquestração de segurança e automação para reduzir a complexidade dos sistemas e melhorar a visibilidade de ameaças.
- Assegurar que a integração de novas tecnologias seja feita de forma estratégica, evitando a fragmentação e a sobrecarga de sistemas.
Construção de alianças com C-levels e com o board
Com o crescimento das ameaças e a expansão das superfícies de ataque, os CISOs precisam colaborar diretamente com o CFO (Chief Financial Officer), CEO (Chief Executive Officer) e o board para garantir que o orçamento de segurança seja adequado às necessidades da empresa.
De acordo com o “Global Board Risk Study 2021” da EY, apenas 9% dos boards se sentem extremamente confiantes nas medidas de mitigação de riscos cibernéticos apresentadas a eles, o que destaca a necessidade de uma comunicação clara e alinhada entre os CISOs e os demais integrantes da alta liderança.
Como os CISOs podem abordar as demais lideranças para aprovar seu orçamento:
- Apresentar o valor da segurança cibernética em termos de risco financeiro e impacto nos negócios, e não apenas em métricas técnicas.
- Colaborar estreitamente com o CFO para garantir que o orçamento esteja alinhado com os objetivos financeiros da empresa.
- Envolver o board no início do processo de planejamento orçamentário para garantir que eles estejam cientes das prioridades e ameaças.
Planejamento: Quando o orçamento deve estar pronto
Para garantir que as operações de segurança estejam bem preparadas para o próximo ano, o planejamento do orçamento deve ser feito com antecedência. De acordo com as melhores práticas, o orçamento de segurança cibernética deve estar concluído e aprovado no mínimo três meses antes do início do ano calendário. Isso permite que os CISOs ajustem o planejamento e tenham tempo para negociar com fornecedores e implementar novas soluções antes que as ameaças se intensifiquem.
O que os CISOs precisam fazer:
- Iniciar o planejamento orçamentário no segundo semestre do ano anterior, envolvendo todas as partes interessadas relevantes.
- Definir cronogramas claros para a aprovação do orçamento e para a implementação das iniciativas planejadas.
Métricas e KPIs de segurança para o orçamento
Para justificar o investimento em segurança cibernética, os CISOs devem apresentar métricas claras que demonstrem o impacto positivo das iniciativas de segurança. KPIs (Key Performance Indicators), como tempo médio de resposta a incidentes e redução de custos operacionais através da automação, são essenciais para demonstrar o retorno sobre o investimento (ROI).
Os CISOs devem:
- Utilizar métricas de desempenho que mostrem a eficácia das ferramentas de segurança implantadas.
- Apresentar relatórios regulares ao board destacando o impacto das iniciativas de segurança no desempenho e na proteção dos ativos críticos da empresa.
Planejamento de contingência e flexibilidade orçamentária
Lembrando que as ameaças cibernéticas evoluem continuamente, os CISOs precisam garantir que o orçamento tenha flexibilidade suficiente para se adaptar a novas ameaças ou tecnologias emergentes. Um fundo de contingência deve ser incluído no orçamento para cobrir emergências ou incidentes inesperados que possam surgir ao longo do ano.
Nesse caso, o que os CISOs precisam fazer:
- Reservar 10-15% do orçamento como contingência para lidar com emergências ou atualizações de segurança inesperadas.
- Rever o orçamento trimestralmente para garantir que os recursos sejam alocados de maneira eficiente e para ajustar conforme necessário.
SOBRE ESTE CONTEÚDO: A série Ciberinteligência é um projeto conjunto da divisão de cibersegurança da EY em parceria com a The Shift. Com atuação em Assurance, Consulting, Strategy, Tax e Transactions, a EY existe para construir um mundo de negócios melhor, ajudando a criar valor no longo prazo para seus clientes, pessoas e sociedade e gerando confiança nos mercados de capitais. Tendo dados e tecnologia como viabilizadores, equipes diversas da EY em mais de 150 países contribuem para o crescimento, transformação e operação de seus clientes. Saiba mais sobre como geramos valor as empresas por meio da tecnologia.