investimentos em segurança: porque é tão difícil ?
TRANSCRIPT
INVESTIMENTOS EM SEGURANÇA:
Porque é tão difícil? Eduardo Alves
O intuito | Pretensões
2
Abordar e debater o tema Investimentos em Segurança
Gerar um pensamento diferenciado para potencializar e aumentar os
investimentos, tratando dos problemas reais que empresas enfrentam.
Sobre o autor |www.edualves.com.br
|linkedin/in/edualves
Profissional de segurança da informação a 14 anos, atuando em gestão
de projetos e equipes, operações em SOC, planejamento, estratégia, em empresas do segmento de telecom, energia e logística. É formando em engenharia da computação, com MBA em gestão empresarial pela FGV. Possui as certificações PMP, ISO27001 LA, CCSK, MCSO, CobiT , ITIL, Comptia Security+.
Agenda O intuito, pretensões
Porque não conseguimos investimento ?
Ano a ano repetindo os erros
O que mudar ?
Garantias
Táticas eficazes pra virar o jogo
Recado final
Porque não conseguimos
investimento ?
5
Se temos tantos problemas…
Alguns indícios de falhas:
Não justificamos tão bem quanto achamos
Dúvidas:
Quanto eu estou perdendo?
Quanto eu vou economizar ?
Imagens by www.morguefile.com
Gastamos e não mostramos valor ao negócio
Ano a ano repetindo erros
6
Quando começamos a nos questionar mais sobre porque não conseguimos....
Podemos perceber que deixamos as
urgências se sobressair aos planos e
incorremos nos mesmos erros, nos perdendo
ao longo do tempo…
Imagens by www.morguefile.com
Ano a ano repetindo erros
7
* Falta de visibilidade e retorno em dinheiro no dinheiro que gastamos
* O mundo não se resume a um novo software,
soluções simples, inteligentes e de baixo custo também são bem vindas
* Não ter declaração da Missão e Objetivos de
segurança de forma clara
* gerenciar mal os projetos
* Dificuldade em adaptações rápidas, isto é,
criar barreiras, resistência a mudanças
* Focar só na tecnologia, não no valor gerado ao negócio
* Ausência de uma boa avaliação de riscos
* O medo do ultimo big-0day Vs uma analise consistente de impacto para o negócio da empresa
* Profissionais caros Vs outros profissionais mais acessíveis
Mas… e o que mudar ?
8
Há de fazer algo…
Olhar o que o mundo e o mercado estão fazendo e rumando, estar
atualizado, mas não copiar, pense em seu negócio...
Parar de ser só “tecnological-fan” e ser “real-problem-solver fan”
Usar tecnologia pra resolver problemas reais, não inventar um problema
pra usar a tecnologia que acabei de comprar
Escutar o vendedor, mas se questionar o valor real das soluções
Garantias
9
Isso vai dar muito trabalho !
Dependerá de muito esforço pessoal e em equipe
Pensamento diferente: questionamento do porque as coisas são assim
É preciso relacionamento Social
Não ter medo de encarar o novo e os problemas
Humildade
Imagens by www.morguefile.com
Só a prática irá fazer assimilar as mudanças e o líder tem que ser motivante e
empolgante na aplicação da mudança de conceito !
Algumas táticas eficazes para
virar o jogo
10
Pratique !
Abrir ou melhorar o relacionamento com todas as áreas da empresa;
Mudar o discurso para um lado financista
Descubra os problemas que acontecem na empresa e não tenha preguiça de encara-los
Fraudes: abra os olhos e mentes, combata
Algumas táticas eficazes para
virar o jogo
11
Ache problemas
Reais
Busque Soluções
Reais
Pense como medir o
retorno em valor
Busque como implementa-
las
Só aqui pense se vai
mesmo precisar
gastar algum valor ou se temos tudo
na mão para fazer !
Pratique !
Casos práticos
12
Ilustrando as consequências
Um cenário comum atualmente são grandes e
complexas redes, interligadas entre si, com diversos
serviços sendo suportados....
Sem uma gestão efetiva e eficaz mínima de segurança, o caos se instalam rapidamente,
causando dentre outras coisas:
Degradação da performance da rede, indisponibilidades de desktops/pdv´s e servidores,
invasões, vazamento de informações....
Casos práticos
13
Ilustrando as consequências
• Como consequências:
funcionários parados, sistemas críticos parados(crm’s, erp’s, sistema de obrigações legais), impossibilidades de atendimento a clientes, impossibilidades de atender autoridades regulamentadoras e auditorias e as consequentes penalizações financeiras.
Imagens by www.morguefile.com
Casos práticos
14
Uma história real… Um Especialista de Segurança tradicional sofria demais com reclamações de que o antivírus não funcionava. Mas argumentava que
estava com duas versões defasadas e que o parque de máquinas iria sofrer infecções sempre, tendo que criar vacina customizada diariamente.
Quando era feito o orçamento anual, o pedido de upgrade do antivírus era sempre cortado. Pois não se via benefício financeiro
aparente.
Cansado de tal situação, o especialista resolveu
mudar o discurso e apresentar a conta do que o cenário acima causava para empresa:
Imagens by
www.morguefile.com
Casos práticos
15
Cenário:
Efetuando um calculo simples naquele memento:
Valor-hora médio por funcionário parado: R$ 5,00
Custo do atendimento técnico para remover o vírus: R$ 100,00
Quantidade de atendimentos necessários para conter um único tipo de vírus: 100
Assim, 5 x 100 x 100 = R$ 50.000,00
Esse cenário que mostrou a economia de recursos e valores justificou: um investimento em
uma gestão mais efetiva de patch e de antivírus, maquinas novas e outras ações que diminuíram de incidências de vírus e refletiram em aumento de produtividade.
* Empresa que terceiriza o service desk, tendo ticket médio de R$ 5,00 por funcionário, sendo necessário 1
hora do funcionário parado para corrigir o problema
Imagens by www.morguefile.com
Neste cenário eram R$ 50.000,00 para apenas remover
pontualmente um caso de vírus !
Por onde começar
16
Por onde começar
17
Por onde começar
18
Organização
Ter visão clara dos problemas e monetizar isso
Anotar tudo pois, irá esquecer ao longo do ano
Estar atento as oportunidades: nem tudo é problema !
Aproveitar as oportunidades !
Disciplina
Para executar exatamente o que foi aprovado, com economia
Visão de longo prazo
Recado Final
19
A regra é bem simples, invisto para:
1. Não perder dinheiro | prevenção
2. Ganhar dinheiro | serviços ou novos negócios