A necessidade de cibersegurança é evidente para a maioria dos líderes de TI. Mas, para muitas pequenas empresas, justificar um orçamento saudável pode ser uma batalha árdua. Afinal, se sua empresa ainda não foi alvo de ataque, significa que não há necessidade de adicionar novas ferramentas ou serviços, certo?
Nada poderia estar mais longe da verdade. À medida que os cibercriminosos e hackers aprimoram suas habilidades e técnicas, as ferramentas que os detinham ontem podem não ser tão eficazes hoje. E, infelizmente, qualquer organização — por menor ou menos visível que seja — pode ser alvo de um ciberataque. Muitas pequenas organizações enfrentam, na verdade, um risco desproporcional, porque alguns invasores percebem que podem facilmente explorar empresas com defesas cibernéticas frágeis.
Com isso em mente, é importante que as organizações entendam que sua estratégia e conjunto de ferramentas de cibersegurança — e, consequentemente, seu orçamento — precisam evoluir ao longo do tempo para continuar protegendo os negócios.
Qual valor você deve destinar ao seu orçamento de cibersegurança?
Não existe uma resposta definitiva sobre quanto as organizações devem destinar ao orçamento de cibersegurança. Esse número varia bastante porque as organizações enfrentam diferentes níveis de risco dependendo do seu porte, do setor em que atuam, das necessidades de conformidade e regulamentação, dos dados coletados e armazenados e das exigências de clientes e parceiros.
Por exemplo, um pequeno consultório médico que lida com dados de saúde de pacientes e precisa manter conformidade com regulamentações governamentais como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) pode achar sensato investir em ferramentas e tecnologias robustas. Por outro lado, uma pequena oficina mecânica que realiza relativamente poucos negócios online pode precisar apenas de um conjunto básico de ferramentas para proteger seu sistema de e-mail e banco de dados de clientes.
Alguns especialistas sugerem que uma regra geral é investir em cibersegurança entre 5% e 20% do orçamento total de TI. Esse valor pode viabilizar uma ampla gama de atividades de cibersegurança, como compra de softwares ou serviços de monitoramento, capacitação da equipe de TI e treinamento de conscientização dos funcionários sobre cibersegurança.
Se essa for uma despesa nova ou um aumento de custo para sua empresa, indicamos a seguir quatro passos que facilitam a conversa com a liderança.
Saiba mais
Quer dicas e ideias de como obter mais fundos para contratar novos funcionários, incorporar novas ferramentas, desenvolver programas de treinamento para funcionários ou até mesmo reservar fundos em caso de ataque? Os líderes de TI podem aprender gatilhos para conversas, considerações e dicas úteis para defender o aumento do orçamento de cibersegurança.
Leia: Como aumentar o orçamento de cibersegurança da sua PME
Como criar um orçamento de cibersegurança
Passo 1: Analise seu orçamento atual de cibersegurança.
O primeiro passo para justificar um aumento no seu orçamento atual de cibersegurança seria analisar o orçamento dentro do contexto das necessidades e dos riscos da sua organização. Como parte desse processo, os líderes de TI podem:
- Fazer um levantamento dos produtos e serviços de segurança existentes e seus respectivos custos.
- Reunir todos os dados que demonstrem o desempenho dessas ferramentas, como número de ataques bloqueados ou ameaças detectadas.
- Identificar lacunas no conjunto de ferramentas existente onde a segurança poderia ser aprimorada. Isso pode incluir ferramentas que automatizam atividades importantes, porém rotineiras, como atualização ou correção de computadores, oportunidades de treinamento para a equipe de TI ou funcionários, ou novas regulamentações que a organização deve cumprir.
O ideal é que a organização realize essa auditoria regularmente, em um momento que não coincida com a renovação de quaisquer ferramentas ou softwares existentes. Isso garante que a equipe de TI e os líderes da empresa tomem a melhor decisão para os negócios, em vez de serem influenciados por um prazo iminente.
Passo 2: Otimize o conjunto de ferramentas existente
Assim que a equipe concluir a auditoria, revise o conjunto de ferramentas existente e determine se podem ser feitos ajustes para fortalecer a cobertura atual ou sanar lacunas nas tecnologias vigentes. Isso não apenas ajuda sua equipe a reduzir a necessidade de gastar dinheiro com novas ferramentas, como também diminui a complexidade do conjunto de ferramentas de segurança, já que as novas ferramentas precisarão ser integradas à arquitetura existente e também gerenciadas pela equipe.
Muitos provedores de segurança confiáveis e de boa reputação se reúnem periodicamente com os clientes para revisar as capacidades e funções de suas ferramentas, garantindo o máximo aproveitamento das funcionalidades do produto, bem como a configuração e o ajuste corretos dessas ferramentas.
Passo 3: Descreva os novos requisitos que precisam ser atendidos, incluindo a conformidade
Após concluir os passos 1 e 2, se ainda for necessário sanar lacunas na estratégia de segurança, o líder de TI deve descrever quais são esses requisitos e as ferramentas ou os processos necessários para resolvê-los.
Algumas lacunas, como o cumprimento das regulamentações governamentais relativas a dados sensíveis de clientes, informações pessoais de saúde ou dados bancários, simplesmente precisam ser sanadas — ou a empresa certamente enfrentará consequências jurídicas e financeiras significativas.
Para outras questões, como conscientizar mais os funcionários sobre cibersegurança por meio de um novo treinamento, a necessidade pode ser menos definitiva ou urgente. Nesses casos, o líder de TI deve documentar eventos ou atividades passadas que demonstrem a necessidade de tal programa e justifiquem seu custo. Lembre-se: em muitos casos, o custo de um programa de segurança será muito menor do que sofrer um ataque — sem mencionar o menor impacto negativo para os negócios.
Passo 4: Realize uma avaliação de riscos (que pode ser baseada no porte, setor ou produto da empresa)
Para algumas organizações, pode ser sensato realizar uma avaliação de riscos. Uma avaliação de riscos é uma auditoria completa da empresa que identifica tudo o que pode ser alvo de um ciberataque, como computadores, smartphones, dados de clientes, propriedade intelectual ou outros ativos. Para equipes de TI com conhecimento limitado em cibersegurança, pode ser útil firmar parceria com um provedor de cibersegurança para realizar essa avaliação e identificar as áreas de maior risco.
Embora nem toda pequena empresa precise de avaliações de risco, à medida que os ataques e os ciberataques se tornam mais comuns, algumas empresas vão perceber que grandes clientes ou parceiros exigem esse tipo de auditoria como parte do processo de contratação. Isso ocorre porque os riscos que afetam um fornecedor ou parceiro também podem afetar o cliente. Por essa razão, as empresas devem considerar reservar uma parte do orçamento caso essa necessidade surja durante o ano.
Considerações adicionais:
Contratação
À medida que as organizações reavaliam sua estratégia de cibersegurança, pode ficar evidente que precisam de alguém para supervisionar esses novos requisitos. Nesse caso, seu parceiro de cibersegurança pode ajudar a definir as responsabilidades desse cargo, bem como a experiência e as habilidades que essa pessoa deve possuir.
É importante ter em mente que há uma escassez de profissionais qualificados em cibersegurança em todo o mundo. Portanto, pode ser mais econômico e prático para algumas empresas considerar um modelo de terceirização, em vez de desenvolver essa capacidade internamente.
Treinamento
Como os cibercriminosos costumam usar pessoas como ponto de entrada durante um ciberataque — especialmente quando se trata de phishing — é importante garantir que as pessoas entendam o papel que desempenham na manutenção da cibersegurança da organização.
Caso a empresa ainda não tenha um treinamento de conscientização sobre cibersegurança, a equipe de TI pode considerar desenvolver um, que deverá ser concluído por todos os funcionários, independentemente do nível hierárquico, localização ou função desempenhada. Para organizações maiores ou aquelas que enfrentam um nível de risco mais elevado, também pode ser prudente adaptar os programas de aprendizagem com base no tipo de função ou nível de experiência, bem como na localização dos funcionários.
Prioridades de negócios
No fim das contas, a cibersegurança é um facilitador do crescimento dos negócios. Afinal, um negócio seguro é um negócio saudável.
Para isso, a estratégia de cibersegurança deve levar em consideração novas iniciativas e prioridades de negócios que podem alterar fundamentalmente as necessidades de segurança. Por exemplo, uma empresa que está migrando para a nuvem precisará implementar novas ferramentas de segurança específicas para a nuvem, já que as ferramentas locais tradicionais não protegem os ativos baseados na nuvem. Se a empresa permite que os funcionários trabalhem remotamente como forma de reduzir custos operacionais ou proporcionar uma melhor experiência de trabalho, a equipe de TI deve tomar medidas para garantir que os computadores e dados da empresa permaneçam protegidos nas redes domésticas.
Seguro cibernético
O seguro cibernético, também conhecido como seguro de responsabilidade cibernética ou seguro de risco cibernético, é um tipo de seguro que protege as empresas em caso de um ciberataque. Embora nem todas as pequenas empresas precisem adquirir uma apólice de seguro cibernético agora, isso está se tornando um requisito comum para fazer negócios com alguns clientes. Assim como na avaliação de riscos, pode ser prudente reservar fundos para essa atividade caso o cliente a torne uma exigência contratual.
Leve sua segurança para o próximo nível com a CrowdStrike
As pequenas empresas têm à sua disposição uma cobertura completa e de alta qualidade. O CrowdStrike Falcon® Go é uma solução fácil de gerenciar, acessível e desenvolvida sob medida para pequenas empresas, que previne ataques de ransomware, malware e as mais recentes ciberameaças.
- Proteja sua empresa com o melhor antivírus de última geração do setor, comprovadamente eficaz na interrupção de ataques avançados.
- Utilize o controle de dispositivos para monitorar e gerenciar dispositivos USB que possam colocar sua rede em risco.
- Implemente um sensor leve e comece a proteger sua empresa instantaneamente, independentemente de onde seus dispositivos estejam.
Que tal experimentar o CrowdStrike?
Experimente o Falcon Pro gratuitamente por 15 dias e proteja sua empresa contra ransomware, malware e ciberataques sofisticados.
Recursos adicionais:
Dana Larson é Gerente Sênior de Marketing de Produtos e tem a missão de ajudar pequenas empresas a permanecerem seguras e protegidas. Ela mistura criatividade com estratégia, tornando a cibersegurança não apenas essencial, mas valiosa para pequenas empresas. Desde a elaboração de planos de marketing inteligentes até a interação com clientes, Dana garante que cada cliente que ela atende se sinta fortalecido e protegido.
