Em períodos de crise, é comum que o budget de segurança da informação diminua, especialmente no Brasil, em que a cultura de segurança nas empresas ainda é muito embrionária e o custo normal de segurança já é mais alto devido à oferta de produtos importados que, com a alta do dólar, geraram uma série de problemas no orçamento.
No entanto, o problema com os investimentos em segurança no Brasil vai muito além da crise econômica. O que falta às empresas brasileiras é a capacidade de pensar na segurança como investimento e não como custo. Vemos atualmente muitas empresas investindo em "commodities", como firewalls e sistemas de prevenção que não serão diferenciais na proteção dos ativos, mas vão contar quando, por exemplo, um auditor fizer uma visita.
Ou seja, muitas empresas, não só pela crise, investem apenas no que veem como necessidade porque existe alguém as obrigando a investir, não por se tratar de uma necessidade para o negócio. Não enxergam o verdadeiro valor da Segurança da Informação e isso é extremamente prejudicial para a segurança como um todo, pois ela nada mais é que uma corrente que sempre se quebra no elo mais fraco, ou seja, uma hora as vulnerabilidades do ambiente serão encontradas e exploradas.
Essa estratégia acaba fazendo com que as empresas gastem mais, pois realizam escolhas ainda mais custosas, trocando "seis por meia dúzia". Em alguns casos, o gestor acaba deixando de investir em inteligência em segurança, algo muito mais urgente e relevante no atual cenário de ameaças avançadas, para adquirir um equipamento que não melhora em nada a visão da empresa em segurança.
Não existe uma solução mágica para criar uma estratégia de segurança ideal, economizar e, ao mesmo tempo, investir de maneira assertiva. É preciso ter planejamento, conhecer o ambiente e analisar as alternativas com base no negócio e não só nos custos. Só assim será possível tomar decisões que tragam o maior retorno de investimento. Essa é a maior dificuldade das empresas brasileiras: identificar onde investir o seu real a mais para obter o maior retorno em mitigação de riscos e redução de custos.
Inteligência em segurança é essencial
Enquanto as empresas seguem investindo em "commodities" de segurança, soluções mais modernas, como firewalls de próxima geração, sistemas de controle de acesso e monitoramento continuam sendo ignoradas.
Dados do IDC mostram que os segmentos de threat intelligence, junto de security analytics, mobile security e cloud security estão entre os que mais vão crescer no mercado de cibersegurança na América Latina, que deve movimentar US$ 11,91 bilhões em 2019.
Temos visto um aumento na quantidade de empresas com a proposta de planejar a segurança com base em um mapeamento das técnicas de negócio para realizar uma análise preditiva que identifique problemas futuros. Estamos caminhando para a área de inteligência em segurança, algo que no Brasil ainda é muito tímido, pois ainda estamos adquirindo níveis mais elevados de maturidade.
Leonardo Moreira, diretor da PROOF.