Não é novidade que os últimos trimestres foram particularmente desafiadores para os negócios no Brasil, como resultado de uma soma de fatores políticos e econômicos. Ainda que o tema de buscar otimizações seja uma boa prática em qualquer cenário, estas iniciativas ganham mais ênfase em momentos como esse. E afetam todos os departamentos – incluindo tecnologia e segurança cibernética.
Mas sempre que a "otimização de custos" dá lugar à mera "redução de custos", podemos ter como consequência direta uma maior exposição ao risco por parte da organização. A postergação de investimentos em segurança, notadamente aqueles que visam mitigar riscos já identificados são os primeiros exemplos que nos ocorrem. Mas não é apenas quando o orçamento da Gestão de Segurança é espremido que a redução de custos resulta em maiores riscos. O aumento da exposição a riscos pode resultar de diversos outros fatores operacionais que aumentam a probabilidade de ocorrência de incidentes devido a falhas ou erros, tais como: reduções de quadro de funcionários, com sobrecarga de trabalho; substituição de pessoal mais experiente e treinado por profissionais menos qualificados; extensão excessiva da vida útil de equipamentos obsoletos; postergação de projetos de modernização de arquiteturas e aplicações; redução de manutenção; simplificação excessiva de processos; abandono de melhores práticas etc.
Podem ainda ocorrer projetos transformacionais como consolidações e terceirizações com forte pressão por velocidade, e por esta razão os riscos dos novos ambientes não serem adequadamente avaliados e mitigados.
Ou seja, é possivelmente nestes momentos que a Gestão de Riscos (e a Gestão de Segurança de uma forma mais ampla) mais possa contribuir. Note que tão importante quanto reduzir custos não essenciais é evitar riscos desnecessários, ou riscos excessivamente altos. Estes podem levar a empresa à falência antes mesmo dos desafios de mercado com os quais ela se preocupa. Uma grande interrupção nas operações causada por indisponibilidade de sistemas; uma fraude milionária; um vazamento massivo de informações críticas de seus clientes; uma multa por não atendimento a requerimentos regulatórios; entre outros impactos, são incidentes que podem ser potencializados a cada decisão de corte de custos.
Portanto, faz-se necessário mover as discussões de "redução" para "otimização" de custos; e incluir na mesa das discussões outros elementos, entre os quais o Gestor de Segurança, para que seja possível avaliar o impacto de cada sugestão no perfil de risco da empresa. É preciso avaliar se o risco de cada medida é aceitável ou não. Esta análise dá mais racionalidade ao processo na medida em que pode descartar ações que resultarão em pequeno ganho econômico frente ao grande aumento nos riscos.
Essa é uma contribuição vital do Gestor de Segurança para o processo de otimização de custos. Mas a sua contribuição pode ir além.
Há abordagens disponíveis no mercado que permitem revisão de arquiteturas tradicionais de segurança e de tecnologia de uma forma geral por mecanismos mais econômicos. E com pagamento por uso. Imagine unir o melhor de dois mundos e aumentar o nível de proteção enquanto reduz os custos de segurança e de tecnologia? É possível. Uma destas abordagens é a da microssegmentação, que em algumas versões mais avançadas pode ser adotada em solução por software, de forma incremental e transparente.
Por meio dela, pode-se postergar ou evitar a troca de firewalls, roteadores e switches de modo seguro; reduzir o custo de administração das regras dos firewalls; reduzir o custo de administração de VLANs; permitir a troca de links dedicados (LP ou MPLS) por links compartilhados de internet, com igual segurança e grande economia; evitar a compra de novos servidores, ao viabilizar o uso de solução baseada em computação em nuvem; permitir desconto em seguros ou taxas cobradas por terceiros (exemplo: administradoras de cartões de crédito) ao conquistar certificações reconhecidas pelo mercado; reduzir a quantidade de ferramentas de segurança usadas, e assim por diante.
Em tempos de cenário econômico desafiador, as pressões tendem a aumentar. É preciso fazer mais com menos, otimizando custos, e nenhum gestor pode fugir de sua responsabilidade de contribuir com o processo. Há diversas formas de contribuir, e entendemos que os Gestores de Segurança podem fazê-lo em nível mais estratégico ao fornecer visões sobre os riscos associados a cada opção de otimização de custos. E nos níveis tático e operacional, ao apontar soluções que permitam transformar e simplificar a tecnologia para modelos mais econômicos.
Leonardo Carissimi, lidera a Prática de Segurança da Unisys na América Latina.
