Gastar mais em segurança não significa estar mais bem protegido, alerta a Gartner

As organizações gastam uma media de 5.6% do seu orçamento total de IT em segurança e gestão do risco, de acordo com o mais recente “IT Key Metrics Data” da Gartner. No entanto, os gastos com segurança variam entre 1 e 13%, do total do orçamento de IT, um indicador que pode conduzir a algum equívoco e que não é sinónimo de mais ou melhor proteção.

Segundo a Gartner, a maioria das organizações continuarão a utilizar inadequadamente as suas verbas dedicadas à segurança até 2020.

Sem o contexto das exigências do negócio ou tolerância ao risco, a métrica dos gastos com segurança de IT enquanto percentagem do orçamento de IT não é, por si, uma informação válida que deva ser utilizada para alocar IT ou recursos do negócio.

A Gartner alerta, além do mais, que as estatísticas dos gastos, isoladas, não permitem medir a eficácia do IT nem são um indicador de um IT bem sucedido. As estatísticas dão apenas uma noção dos gastos médios, sem terem em conta a complexidade ou as necessidades de segurança dentro das organizações.

Identificar o “verdadeiro” orçamento de segurança

Os gastos com segurança dividem-se, geralmente, entre hardware, software e serviços (outsourcing e consultoria), bem como recursos humanos. No entanto, qualquer estatística sobre gastos com segurança são inerentemente soft, segundo a consultora, dado que a segurança está a ser incorporada no hardware, software e em atividades ou iniciativas não especificamente dedicadas à segurança.

A Gartner vai mais longe e diz que a maioria das organizações desconhecem o seu orçamento de segurança e que tal acontece, em parte, devido à ausência de sistemas que contabilizem a segurança como um item à parte ou muitos processos dos relevantes, relacionados com segurança, que são levados a cabo por colaboradores que não estão dedicados a cem por cento à segurança. Na maioria dos casos, o Chief Information Security Officer (CISO) não tem uma visão sobre os gastos com segurança ao longo de toda a empresa.

Para identificar o verdadeiro orçamento de segurança, é importante olhar para os equipamentos de redes, que têm funções incorporadas, proteção de desktop que pode estar incluído no orçamento de suporte ao end user, em aplicações empresariais, em serviços de segurança geridos ou em outsource, por exemplo.

Segundo a Gartner, as organizações mais bem protegidas podem por vezes gastar menos que a média em segurança, em comparação com os orçamentos de IT. Assim, a Gartner indica que 20% das organizações que menos gastam registam um de dois cenários: ou simplesmente gastam menos ou têm implementadas práticas de IT e de segurança que reduzem a complexidade total da infraestrutura de IT e trabalham com o objetivo de reduzir o número de vulnerabilidades.  

Na visão da consultora, as empresas devem gastar entre 4 e 7% dos seus orçamentos de IT em segurança de IT: menos se tiverem sistemas maduros, mais se estiverem mais expostas ao risco. Isto representa o orçamento sob controlo dos CISOs (ou de quem assumir o seu papel, dentro das organizações) e não o orçamento “real” ou total.