Nosso blog

Como convencer a empresa a investir na redução do risco cibernético

k

04 Maio 2017

Malcolm Stokes

Posts by authors: Malcolm Stokes, Head of Operational Risk, BT Security

LinkedIn

Malcolm Stokes, Head of Operational Risk for Security, BT, apresenta suas recomendações para convencer uma empresa a investir na redução do risco, como havia prometido em seu post sobre avaliação do risco cibernético.

Como convencer a empresa a investir na redução do risco cibernético

Melhorar as defesas cibernéticas custa dinheiro – e você terá que justificar isso com a correspondente redução do risco. A área financeira precisa ver o retorno sobre o investimento (RoI) – ou seja, quantificar os benefícios obtidos, o que significa medir o risco antes e depois dos gastos com as melhorias introduzidas. Mas riscos não podem ser medidos – podem, apenas, ser estimados. Como, então, convencer a empresa a financiar seu programa de redução do risco cibernético? Veja aqui três estratégias que funcionam.

1. Revelar os custos ocultos do risco cibernético

Os custos ocultos do risco cibernético são absorvidos por diferentes orçamentos. Assim, passam despercebidos aos olhos dos gestores, pulverizam recursos, irritam os clientes e corroem as margens de lucro. Somente os incidentes cibernéticos espetaculares ou mal administrados chegam a ser notícia. A grande maioria deles não vem à tona, para proteger reputações. Assim, o primeiro passo em direção à demonstração do RoI consiste em levantar os custos de todos os pequenos incidentes – os ataques DDoS, das pesquisas que se seguiram às invasões detectadas, da “limpeza” de notebooks infectados, das mudanças de emergência nas regras de firewall, das indisponibilidades temporárias para evitar a vulnerabilidade de dados, etc.

Esses custos são equivalentes às perdas que as empresas seguradoras procuram evitar ao estabelecer uma franquia para sua apólice. Pense, por exemplo, no montante que o impede de reclamar indenização por pequenos arranhões no seu carro, ou pequenas manchas de umidade no seu teto.

Uma vez que você retire o foco das perdas catastróficas e o coloque sobre o amplo espectro de riscos pequenos, mas frequentes, a reivindicação de investimentos na proteção contra os riscos cibernéticos torna-se um bem-vindo caso de redução de custos.

2. Unir-se às propostas para crescimento da empresa, ao invés de competir com elas por fundos

Muitas vezes a reivindicação de investimentos para a redução de riscos compete com propostas de investimentos para o crescimento das empresas. Estimativas pessimistas do que se pode perder caso o pior aconteça são comparadas com previsões otimistas de receitas futuras. As propostas de crescimento normalmente se concentram nas melhores hipóteses, usando frases afirmativas, enquanto as propostas para redução de riscos trazem verbos no condicional, mostrando o que poderia ocorrer.

Uma abordagem inteligente, entretanto, não procura suplantar os argumentos em favor das perspectivas de crescimento. Os riscos se traduzem em enormes incertezas quanto à empresa atingir ou não suas previsões de faturamento e lucro. Portanto, aprimorar as defesas contra riscos é também colaborar para o crescimento dos negócios.

Em vez de competir por fundos com propostas de crescimento, apresente suas ideias para redução de riscos como parte integrante dessas propostas, mostrando que um investimento um pouco maior reduz incertezas, aumentando as chances de se atingir os resultados esperados e evitando frustrações.

3. Apresentar os riscos como teóricos, e os investimentos como o prêmio pago por um seguro

As companhias de seguro transformam riscos em prêmios anuais. É a maneira que encontraram para combinar em um número todos os tipos e probabilidades de perda a serem cobertas por uma apólice. Os atuários definem “prêmio puro” como o correspondente à área de uma curva de distribuição de risco conhecida como curva EP, ou curva de probabilidade de eventos. É essa a curva que traduz a probabilidade de perdas em valores monetários. Se você gerar uma curva EP para seu risco cibernético, incluindo o custo de possíveis consequências, o retorno sobre o investimento na redução do risco se torna bastante claro – e será muito pequeno comparado às possibilidades de perda.

Conheça nossas soluções de segurança e saiba como elas podem contribuir para a redução do risco cibernético em sua organização.