Protegendo o futuro: relatório de preparação para a segurança cibernética

Capítulo 7: Orçamentos limitados

Investir nas soluções de segurança certas e nos melhores talentos pode parecer uma estratégia óbvia para enfrentar os desafios de segurança cibernética. No entanto, o financiamento insuficiente para a segurança cibernética continua sendo um problema para muitas empresas. A boa notícia? Quanto mais os executivos estiverem cientes dos problemas de segurança, mais eles apoiarão investimentos em segurança cibernética. E, se adotarem a abordagem de segurança correta, poderão otimizar esses investimentos.

Muitas organizações já investem muito em segurança. Elas alocam uma grande porcentagem de seus orçamentos totais de TI para a compra de novas soluções de segurança e para a contratação de pessoal. Pesquisas mostram que 53% das organizações gastaram entre 11% e 20% de todo o seu orçamento de TI em segurança cibernética no ano passado. Outras 28% das organizações gastaram pelo menos 20%, um quinto de seu orçamento.

Pode parecer que as organizações maiores, com redes maiores e mais complexas para defender, deveriam gastar uma parte maior dos orçamentos de TI em segurança cibernética do que as organizações de pequeno ou médio porte. No entanto, a diferença de gastos entre grandes organizações e todas as outras não é muito grande. Em nossa pesquisa, mais de um terço (35%) das grandes organizações gastou mais de um quinto de todo o seu orçamento de TI em soluções de segurança e pessoal. No entanto, 26% das organizações de médio e pequeno porte gastaram uma parcela semelhante de seus orçamentos de TI.

Os gastos variam de acordo com o setor. Nossa pesquisa descobriu que as organizações de saúde, transporte e serviços financeiros são as que mais gastam com segurança cibernética. No entanto, as empresas desses setores não estão necessariamente melhor preparadas, pelo menos de acordo com a sua própria avaliação. Em nossa pesquisa, apenas 16% dos entrevistados na área da saúde relataram estar suficientemente preparados para lidar com ameaças à segurança.

Os orçamentos de segurança cibernética devem aumentar no futuro. Dois terços (67%) dos entrevistados esperam orçamentos maiores nos próximos 12 meses. Esses entrevistados preveem aumentos substanciais no orçamento, entre 11% e 20%. Outro quinto (22%) dos entrevistados espera manter o nível atual de gastos com segurança cibernética.

Empresas em setores que já investem mais continuarão a investir mais no futuro. Os participantes da pesquisa de empresas de serviços financeiros, saúde e transportes preveem um aumento nos gastos. Enquanto isso, participantes de setores como o varejo e a indústria, que podem ser afetados pela inflação ou outras tendências econômicas, preveem reduções nos orçamentos de segurança cibernética.

Por que os orçamentos de algumas empresas aumentarão? O aumento da taxa e da gravidade dos incidentes de segurança cibernética são os principais motivos. As equipes de liderança devem sempre avaliar os orçamentos de segurança cibernética considerando o perfil de risco e a tolerância ao risco de sua organização. Nem todos os riscos justificam grandes investimentos. No entanto, um número crescente de organizações tem enfrentado ataques em larga escala que resultaram em enormes perdas financeiras, incluindo perdas decorrentes de multas regulatórias, ações judiciais, esforços de remediação e perda de negócios devido aos danos à reputação. Para muitas equipes de liderança, esses eventos ultrapassam um nível de risco aceitável. Os líderes percebem que devem aumentar os seus investimentos.

É claro que nem todos os investimentos trazem os mesmos benefícios. Por exemplo, para otimizar seus orçamentos de segurança cibernética, as organizações devem evitar as armadilhas de soluções pontuais, que podem gerar altos custos de aquisição e gerenciamento sem oferecer proteção adequada.

A menos que as equipes repensem as estratégias de segurança legadas, mesmo os maiores investimentos provavelmente serão insuficientes. Como o diretor de segurança da Cloudflare, Grant Bourzikas escreve: “Quando eu era CISO de um grande banco global, tínhamos um orçamento de um bilhão de dólares e 1.500 funcionários para segurança. Mas mesmo esses recursos não foram suficientes para reforçar a segurança e proteger adequadamente a empresa contra as ameaças em constante evolução.

Independentemente do orçamento disponível, os líderes de segurança precisarão garantir que estão investindo em abordagens que terão o maior impacto. Para a maioria das organizações, implementar uma única plataforma de segurança unificada é a melhor abordagem. Ao unificar a segurança, é possível lidar com uma ampla gama de ameaças, evitando a complexidade de diversas soluções isoladas e os desafios da contínua escassez de talentos. As organizações podem reforçar a preparação, ao mesmo tempo em que aprimoram a eficiência operacional.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.

Principais conclusões

Após ler este artigo, você entenderá:

• Resultados da pesquisa com mais de quatro mil profissionais de segurança cibernética

• Novas descobertas sobre incidentes de segurança, prontidão e resultados

• Considerações para que os CISOs garantam o futuro e alcancem melhores resultados para suas organizações

Recursos relacionados

• Capítulo 8: Conflito de prioridades na evolução da preparação

• Como aprendi a parar de me preocupar e amar a conformidade

• Protegendo o futuro: pesquisa sobre prontidão em segurança cibernética