Como os custos de ciberataques têm disparado, é crucial que as empresas considerem a segurança uma prioridade ao planejar os gastos para este ano. Mas quanto investimento seria suficiente, especialmente para empresas que estejam enfrentando grandes restrições orçamentárias? Compreender e priorizar os custos com cibersegurança é fundamental não apenas para que os responsáveis por TI entendam quanto devem gastar, mas para garantir que seu investimento valha a pena. Para auxiliar nessa tomada de decisão, este post mostra quanto empresas investem em cibersegurança em média, que fatores podem aumentar esses gastos e como controlar esses custos.
Custo médio de cibersegurança
A pesquisa 2021 State of the CIO relatou que o gasto médio com segurança atingiu 15,5% do orçamento anual de tecnologia das empresas. Enquanto isso, outra pesquisa da IDG, a 2021 Security Priorities Study, demonstrou que o gasto médio dos participantes de grandes empresas foi de US$123 milhões, enquanto os entrevistados de pequenas e médias empresas relataram gastos de US$11 milhões, em média. No entanto, o mesmo relatório afirmou que 44% de todas as empresas participantes planejam aumentar seu orçamento de segurança no próximo ano, e metade dos pequenos e médios negócios têm a intenção de dobrar esses gastos em 2022. Esses dados surgem após um aumento de 12,4% dos gastos gerais com segurança neste ano, quando é previsto que tais investimentos atinjam US$150 bilhões.
Mas o que está por trás desse aumento? Antes de mais nada, muitas mudanças foram feitas para adaptar-se à pandemia, tais como a expansão dos serviços online e uma transformação digital acelerada. Além disso, o trabalho remoto continuou durante este ano e não mostra sinais de enfraquecimento, fazendo com que empresas precisem substituir soluções de segurança legadas por soluções mais modernas que possibilitam zero trust.
Junto ao aumento contínuo das atividades online, ataques também proliferaram, aumentando riscos para empresas conforme DDoS e ransomware tornam-se mais frequentes e difundidos em novos segmentos de negócios como educação, pequenas empresas e infraestrutura crítica. Essas e outras tendências também têm aumentado os custos de um ciberataque para uma empresa, os quais têm disparado ao longo do último ano. Inclusive, o relatório Cost of a Data Breach, da IBM, cita uma média global de custo de violação de dados de US$4,24 milhões em 2021.
Fatores que determinam os custos com cibersegurança
Quando confrontados pela questão de quanto gastar em cibersegurança, muitos especialistas em orçamento simplesmente responderão que “depende”. Quanto mais alto for o risco de um ataque — e quanto mais dinheiro uma empresa correr o risco de perder no caso de um incidente de cibersegurança —, mais importante será investir nesses protocolos. Empresas que podem enfrentar consequências mais sérias por uma violação de dados ou tempo de inatividade devem estar particularmente preocupadas em minimizar esses riscos. Entretanto, isso não quer dizer que a cibersegurança só é necessária para empresas que lidam com dados sensíveis ou que possuem serviços de missão crítica. Qualquer negócio com uma presença na web deveria investir nesse tipo de segurança para evitar os danos à reputação e as consequentes perdas de um ataque. Apesar disso, alguns dos fatores que podem impulsionar os gastos com segurança são:
- ramo e tamanho da empresa
- a sensibilidade e o volume de dados pessoais com que a empresa trabalha
- compliance e regulamentações
- o valor da propriedade intelectual que a empresa protege
- a complexidade da sua infraestrutura de TI
- qual a probabilidade da empresa se tornar alvo de ataques
- requisições dos stakeholders e clientes da empresa
Dessa forma, empresas como instituições financeiras, e-commerce e companhias de saúde, que lidam com dados mais sensíveis, também devem adquirir determinados produtos voltados à segurança, como web application firewalls, e serviços como auditoria de terceiros para estar de acordo com as leis de privacidade de dados. Standards como PCI-DSS, que se aplicam a todas as empresas que trabalham com dados de cartão de crédito, são mais rígidas para negócios que processam mais transações, o que significa que empresas maiores estão sujeitas a mais auditorias, documentação e avaliações de segurança, como pen tests e varreduras de vulnerabilidades, que podem aumentar custos de compliance.
Outros fatores, como o fato de a empresa utilizar infraestrutura on-premise, cloud ou edge, também podem impactar nos gastos. Para soluções de segurança on-premise, as empresas devem não apenas adquirir equipamentos com antecedência, mas também considerar seus custos contínuos de operação, gerenciamento e manutenção, bem como os custos de substituição quando o equipamento chega ao fim de sua vida útil. Com segurança cloud e edge, a tecnologia está sempre atualizada, sem custos adicionais para substituir ou consertar equipamentos. Além disso, como soluções cloud escalam conforme a demanda, os clientes pagam apenas pela infraestrutura que usam, acrescida do serviço ou da licença de software. Edge computing serverless, que possibilita escalabilidade automática altamente granular sem requerer provisionamento prévio, reduz tarefas de gerenciamento e diminui ainda mais o consumo de recursos e custos antecipados.
Como controlar custos
Considerando que os ciberataques têm se tornado mais frequentes e dispendiosos, é mais importante que nunca investir em segurança. Mas nem todas as soluções de segurança geram o mesmo retorno aos investimentos. Na verdade, um artigo recente da Forbes afirma que aproximadamente 30% das ferramentas de segurança são pouco ou nunca utilizadas. Além disso, conforme as organizações continuam acelerando sua transformação digital, soluções que não escalam facilmente ou correm o risco de vendor lock-in podem resultar em desperdício de recursos, desperdício este que não está limitado ao gasto com ferramentas e software. Na verdade, centros de operações de segurança (COSs) empregam em média 25% de seu tempo perseguindo falsos positivos e muitas vezes não possuem os dados necessários para conter ameaças de forma eficiente, de acordo com com o relatório 2019 State of the SOC Report, da Pomeno.
Sendo assim, quais estratégias de segurança têm o maior impacto? Um relatório da Cisco de 2021 afirma que as duas práticas de segurança mais diretamente relacionadas com resultados positivos foram “uma estratégia de atualização tecnológica proativa e de ponta” e ter uma stack de segurança bem integrada. O relatório Cost of a Data Breach da IBM também observou que os custos foram significativamente menores para empresas que empregaram práticas de segurança modernas, como zero trust e automação.
Outra maneira de controlar os custos é adotar uma abordagem de segurança baseada em risco, em vez de uma abordagem baseada em maturidade. A segurança baseada em maturidade se concentra na ampliação de todos os recursos para chegar a um nível arbitrariamente alto e tende a crescer (em excesso) organicamente, resultando em uma falta de supervisão e na obstrução de implementações. Uma abordagem baseada em risco reduz os gastos, concentrando-se nos temas que representam o maior risco para a segurança de uma organização, mudando de uma posição de monitoramento de tudo para a construção de controles personalizados para lidar com ameaças críticas com base na priorização. Um estudo de 2019 da McKinsey and company estimou que uma abordagem baseada em risco poderia reduzir os custos gerais em mais da metade, ao mesmo tempo em que fornece proteção eficaz para recursos essenciais.
Além disso, dados precisos sobre incidentes de segurança podem ajudar os responsáveis pela tomada de decisões a determinar quais esforços de segurança fornecerão mais valor à sua empresa. Ferramentas de análise de dados integradas a soluções de segurança podem ajudar a compreender padrões de ataques, prever ameaças e identificar vulnerabilidades e lacunas no seu sistema atual. Tais ferramentas também podem fornecer COSs com dados adicionais para detecção de ameaças mais eficiente e precisa.
Como a Azion pode melhorar a eficácia da sua segurança
Uma boa cibersegurança vale o seu preço — mas as empresas não precisam gastar muito para obter o que há de melhor em segurança. A stack de segurança integrada da Azion utiliza edge computing para oferecer segurança programável no edge, próxima dos usuários finais, e escalar automaticamente na infraestrutura gerenciada pela Azion. Nossa plataforma de edge também simplifica a compliance ao possibilitar às empresas processar dados localmente, minimizando a necessidade de manter dados confidenciais on-premise, em que a aquisição, a operação, a escalabilidade e a manutenção da infraestrutura são mais caras. Por fim, ao utilizar uma plataforma aberta e extensível que utiliza ferramentas padronizadas, equipes de segurança evitam o risco de vendor lock-in que muitas vezes é associado a soluções de provedores de cloud.
Como resultado, as empresas podem simplificar a maneira como implementam e gerenciam a segurança ao eliminar a necessidade de gerenciar a infraestrutura, possibilitando fluxos de trabalho automatizados, e minimizando o desperdício de recursos. A abordagem moderna da Azion para segurança utiliza uma rede globalmente distribuída que abrange algumas das maiores empresas globais e é frequentemente atualizada a fim de diminuir os riscos de ameaças emergentes. Além disso, nossos produtos e rede são otimizados para companhias globais e de grande escala, fornecendo às empresas uma solução de segurança de ponta e acessível que as protegerá nas próximas décadas.
Para descobrir mais a respeito dos produtos e serviços de segurança da Azion, entre em contato com nossos especialistas hoje mesmo.