Cortes súbitos no orçamento podem gerar efeitos negativos sobre a segurança a longo prazo

Por: Terena Bell, CSO

segurança da informação há muito tempo tem a reputação de não ter pessoal e financiamento, e isso foi antes da Covid-19. Sob a atual crise econômica, as pressões se tornaram ainda maiores, com a empresa de pesquisa Pulse relatando, em 4 de junho, que 23% dos orçamentos de segurança estão congelados e que 49% foram reduzidos.

Então, quando o CEO pede que você corte esse orçamento já com poucos recursos, onde um CISO deve começar? Mais especificamente, existe uma maneira de impedir com que esses cortes se tornem permanentes quando a crise econômica terminar? Consultores, fornecedores e CISOs compartilham conselhos que podem ajudar:

Identifique sobreposições na tecnologia

No triângulo de ouro das pessoas, processos e tecnologia, comece olhando para a tecnologia – ou seja, o software que a empresa já possui. Leo Taddeo, ex-Agente Especial do FBI responsável pela divisão cibernética do escritório de Nova York, diz: “Procure áreas em que a inovação tenha criado eficiência”. Como muitos fornecedores de tecnologia estão constantemente adicionando novos recursos, agora pode haver sobreposições que ainda não existiam no momento da integração. Tome seu conjunto de proteção de endpoint atual, por exemplo; Taddeo diz que também pode fornecer proteção antivírus significativa, acrescentando que “se um CSO incorre em custos para ambos, então essa é uma área para economia de custos”.

Trabalhe com outros departamentos para ver qual tecnologia eles usam. Identificar shadow IT sempre foi uma luta, então comece com sistemas conhecidos, especialmente aqueles que são mais amplamente utilizados. Taddeo diz: “Também pode haver recursos em uma plataforma existente, como o Windows 10, que permitem que um CISO atenue os riscos simplesmente ativando um recurso de segurança”.

Onde quer que você o encontre, a remoção da redundância de ferramentas é uma medida de economia de custos que você provavelmente desejará manter mesmo depois que os orçamentos voltarem ao normal. Como Greg Touhill, Presidente da consultoria de confiança zero AppGate Federal, diz: “CSOs devem sempre procurar oportunidades para serem mais eficazes, eficientes e seguros – na pandemia ou não”.

Renegocie contratos de fornecedores

Para as ferramentas que seu departamento mantém, tente eliminar os custos “recontratando seus fornecedores para garantir que você obtenha o melhor preço possível”, diz George Gerchow, CSO da Sumo Logic, uma plataforma de analytics. “No momento, todo fornecedor está tentando desesperadamente proteger sua base de clientes, de modo que as soluções pontuais terão que baixar seu preço para competir com as soluções de suíte”, diz ele, o que significa que as soluções de suíte provavelmente oferecerão um desconto de licença.

Jeff Hausman, Gerente Geral de Operações de Segurança da ServiceNow, recomenda que as equipes mudem do licenciamento perpétuo para um modelo de assinatura, se possível, para dar flexibilidade aos orçamentos.

“As plataformas que cobram pelo uso de dados terão que ser criativas ao cobrar por tipo de dados e frequência de pesquisas”, diz Gerchow.

O CEO Mark Orlando, da prestadora de serviços Bionic, oferece aconselhamento semelhante: “Reduza qualquer licença de tecnologia baseada no volume de dados ou em [outra] métrica variável. Procure maneiras de reduzir esses custos de licenciamento cortando feeds de dados que não são acionáveis ou que se tornaram obsoletos – ou pelo menos consolidando e cooperando com esses contratos de suporte para encontrar sobreposições e obter alívio temporário no pagamento”.

Se os fornecedores não negociarem, Hausman e Gerchow recomendam a transição para alternativas de código aberto.

Use a tecnologia para reduzir os custos relacionados às pessoas

Das muitas dificuldades associadas à redução de um orçamento no ambiente atual, pode haver uma positiva. Hausman diz: “Este é um ótimo momento para automatizar a labuta das operações de segurança”. Todo esse trabalho manual que leva muito tempo da sua equipe? Bem, se seu CEO estiver disposto a gastar um pouco para economizar muito, essa pode ser sua mudança para comprar a ferramenta de automação que você deseja. Hausman diz: “Há frutos baixos com automação de tarefas e orquestração de processos”.

Hausman recomenda que o CISO aplique a regra 80/20, uma teoria de negócios também conhecida como Princípio de Pareto, que afirma que 80% dos resultados vêm de apenas 20% dos esforços. Hausman pergunta: “Quais são as cinco principais maneiras que sua equipe passa o tempo?” Essas atividades estão alinhadas aos objetivos da empresa e do departamento? “Os fluxos de trabalho prontos para uso podem lidar com segurança em áreas específicas, como coleta de dados, priorização, [e] consolidação de incidentes e atribuição de remediação”, explica ele.

Essa dica pode ser especialmente útil na implementação de confiança zero, onde Touhill diz que a inovação em perímetros definidos por software, por exemplo, avança a estratégia “enquanto ajuda a reduzir os custos operacionais, pois permite que você aposente tecnologias que exigem muita mão de obra como VPN e controle de acesso à rede (NAC)”- uma ideia interessante no momento em que os dados do Pulse mostram as VPNs como o “novo item do orçamento” mais comum em maio para 36% das equipes de segurança cibernética.

Gastos de qualquer tipo podem não ser o que o C-suite deseja ver agora, mas se o chefe estiver aberto ao pensamento criativo, tente alavancar o financiamento de recursos humanos para quaisquer posições de segurança abertas, defendendo um software que reduz o trabalho departamental. Algumas ferramentas podem ser caras, mas o custo total para a empresa é mais ou menos que o salário, mais os benefícios para uma nova contratação? Além disso, essa dica também pode ajudar a estabelecer um precedente para a compra de outras tecnologias da lista de desejos quando os orçamentos voltarem.

Tenha cuidado com demissões

Se você deseja reduzir o orçamento, infelizmente as demissões virão. Na segurança cibernética, a pesquisa da June Pulse mostra que 48% das equipes de segurança de dados “reduziram o número de funcionários por causa da Covid-19”, durante abril ou maio, e 40% planejam demitir mais antes de novembro.

Orlando, da Bionic, diz: “A perda de membros qualificados da equipe terá impacto duradouro no ânimo da equipe e dificultará futuros esforços de recrutamento. Portanto, os cortes de pessoal devem ser uma última opção para os líderes de segurança que desejam manter algum tipo de capacidade quando a crise passar”.

Em algum momento, a crise econômica que veio com a Covid-19 terminará. Fazer com que os funcionários trabalhem horas extras enquanto lidam com problemas de saúde, isolamento com crianças e a preocupação de que possam ser dispensados em seguida não promove a lealdade. Como Touhill ressalta, os custos de pessoal, treinamento e licenciamento compõem a maior parte da maioria dos orçamentos de segurança.

Não importa o quê, lembre-se de seus objetivos

Voltando às observações de Hausman, é importante que os líderes de segurança mantenham o tempo todo seus objetivo em foco. Ao determinar os cortes de hoje ou qualquer corte, Orlando diz que a estratégia geral é a mesma: “divida o estatuto da equipe de segurança em um nível molecular e decida o que pode perder e, então, conclua o trabalho”. No final do dia, seguir essa estratégia orientadora única dirá o que deve e o que não deve ser cortado.

Fonte: CIO