São tempos difíceis e de incerteza. Pessoas estão perdendo suas vidas e, infelizmente, uma das maiores crises do século XXI parece ter vindo para ficar por meses. No âmbito de tecnologia, nós estamos, na maior parte dos casos, nos bastidores, mas com um papel essencial para garantir que a peça continue. A maior parte das empresas, nas últimas semanas, mudou drasticamente suas rotinas com uma parcela considerável permitindo o "home office". Tudo isso graças aos esforços dos times de tecnologia, que atuaram de forma rápida para conceder acesso seguro e funcional para os colaboradores a partir de suas casas. Outras equipes e empresas estão adotando controles de segurança que possam amparar melhor seus usuários, filtrando conteúdo, garantindo produtividade e eliminando mais riscos invisíveis pela falta de manejo e visibilidade total da infraestrutura.
Várias destas iniciativas são emergenciais e não foram adquiridas. Assim como a pandemia, são temporárias e terão seu fim em breve. O orçamento previsto pode não comportar estes controles, que se tornam mais essenciais a cada dia, basta perguntar aos seus usuários e administradores. Então, quando um executivo perguntar onde devemos investir, como vamos responder a esta pergunta? Existe algo mais concreto que podemos apresentar, com números ao invés de palpites? Sim, é possível ter como resposta uma análise quantitativa.
Para entender o cenário, vamos começar pela terminologia. A primeira máxima seria não ter um controle mais caro do que o ativo e a sua incidência de risco. Isso pode parecer óbvio, mas algumas empresas, sem realizar esta análise, podem gastar mais dinheiro nas tecnologias de proteção do que o real necessário. Então, é importante saber o valor do ativo, o quanto ele pode ser comprometido, quanto um incidente custaria, a recorrência deste incidente e o valor disso por ano. Resumindo:
· Valor do ativo (AV – Asset Value): Quanto custa o ativo?
· Fator de exposição (EF – Exposure Factor): Porcentagem do valor do ativo perdido?
· Expectativa de perda única (SLE – Single Loss Expectancy): Quanto custa se acontecer uma única vez?
· Taxa anual de ocorrência (ARO – Annual Rate of Occurence): Com qual frequência isso acontece por ano?
· Expectativa de perda anual (ALE – Annualized Loss Expectancy): Este é o custo anual se não tivermos um controle.
· Custo total de propriedade (TCO – Total Cost of Ownership) – O custo de mitigação, ou seja, o pagamento do controle e soma de suas manutenções.
Exemplificando:
Vamos analisar um caso de um furto de notebook de um colaborador de finanças de uma grande empresa.
· O notebook custa R$3.500,00 e as informações de trabalho custam R$ 8.000,00. Ou seja, R$ 3.500,00 + R$ 8.000,00 = R$ 11.500,00 de AV.
· O ativo (notebook) não foi recuperado e não havia backup para as informações, ou seja 100% de perda para EF.
· Para saber o custo da expectativa de perda única (SLE), basta multiplicar o AV pela porcentagem EF, ou seja, R$ 11.500,00 * 1,00 = R$11.500,00
· Descobrir o ARO requer uma visão histórica estatística da ocorrência do fato. Na falta deste histórico, uma estimativa pautada em números deve servir. Neste exemplo, por ser uma empresa grande com 1.000 funcionários, existe uma ocorrência de perda média de 20 notebooks por ano. Portanto, vamos considerar o ARO com 20 notebooks.
· A ALE, neste caso, será o custo do SLE multiplicado pelo ARO. Portanto, R$ 11.500,00 (SLE) * 20 (ARO) = R$ 230.000,00. Ou seja, se nada for feito, a empresa perde por ano R$230.000,00.
Logo, se algum consultor recomendar a utilização de uma ferramenta de backup e uma solução de criptografia de disco na máquina, este custo em controle deve ser capaz de cobrir os R$8.000,00 que fazem parte do valor do ativo (informações e produtividade) e um possível seguro das máquinas deve cobrir os R$3.500,00 do hardware perdido. Na prática, quaisquer controles que você utilize para mitigar este problema, precisa estar abaixo R$230.000,00 de custo anualmente. Vamos às possibilidades:
Solução 1:
Um consultor de segurança oferece uma solução de contrato do notebook, amarrando um custo adicional de R$ 41,00 por funcionário, com notebooks como serviço, ou seja, a perda de um computador até um número aceitável (20 por ano) está coberto e uma nova máquina será entregue, sem um valor extra. Ele também oferece uma solução de antivírus com criptografia de disco na máquina do usuário, evitando a perda dos dados e protegendo a máquina contra malware. Por fim, ele propõe a utilização de uma solução de armazenamento remoto do mesmo fabricante do antivírus, que realiza backup incremental e copia os arquivos locais em um ambiente externo com rotinas de backup mais robustas.
· Custos:
o Contrato: R$ 41.000,00 por ano.
o Subscrição Antivírus: R$ 82.000,00 de custo anual.
o Subscrição armazenamento remoto com backup: R$74.000,00 de custo anual.
Somando estes números, o TCO para usar os controles e mitigar estes riscos custa, ao ano, R$ 197.000,00. Ou seja, uma economia anual de R$ 33.000,00 para a empresa.
Solução 2:
Um consultor de segurança oferece uma solução de seguro, amarrando o custo de R$ 1.750,00 por notebook, ou seja, a perda acarretará um custo adicional e uma nova máquina será entregue. Ele também oferece uma solução de antivírus avançada que realiza criptografia de disco proprietária, uma das mais seguras do mercado, na máquina do usuário, evitando a perda dos dados e protegendo a máquina contra malware, navegação indevida, realiza verificação de compliance e destrói o ativo fisicamente se acionado remotamente. Por fim, ele propõe a utilização de uma solução de backup na própria máquina, que sincroniza com servidor externo em tempo real. Uma solução inovadora, uma das melhores e mais seguras do mercado.
· Custos:
o Contrato: R$ 1.750,00 (custo seguro) * 20 (notebooks), ou seja, R$ 35.000,00 por ano.
o Subscrição Antivírus avançado: R$ 122.000,00 de custo anual.
o Subscrição armazenamento backup avançado: R$ 102.000,00 de custo anual.
Já somando estes números, o TCO para usar os controles e mitigar estes riscos custa, ao ano, R$ 259.000,00. Ou seja, será mais caro pagar estes controles do que deixar o risco acontecer, sem evitá-lo.
OBS: Esta análise não está levando em consideração a visão qualitativa e alguns valores imensuráveis, como o dano à marca (que pode ser altíssimo) e um possível roubo de informações confidenciais (que pode levar à falência). Além disso, avistando questões mais complexas, adicionar mais soluções também criam outros riscos que precisam ser analisados. Por fim, controles mais abrangentes mitigam múltiplos riscos, consequentemente, estes também devem ser considerados para que a arguição do modelo de custos apresentado se justifique.
Assim sendo, nestes difíceis tempos, será importante usar de modelos numéricos e fatos para nos ajudar a justificar os investimentos contínuos em segurança. Por isso é importante a presença de um conselheiro de segurança e um parceiro confiável, para ajudar você a escolher as soluções mais aderentes ao seu orçamento, incluindo controles e soluções que hoje estão responsáveis por manter o "home office", empresas e empregos operando, mesmo que isto não estivesse no planejamento. Existia uma forma de viver e trabalhar antes da crise pandêmica do COVID-19. Isto nunca mais será o mesmo.
Pedro Godoy, solution architect da NTT no Brasil.