Saiba como comunicar o valor da segurança cibernética da sua organização para as partes interessadas de forma assertiva. Comunicar o valor da segurança cibernética é uma tarefa desafiadora. Contudo, os líderes de segurança cibernética costumam usar o método errado para comunicar o valor dos investimentos, resultando em uma postura de segurança desnecessariamente fraca.
Portanto, os líderes de segurança e gerenciamento de risco que procuram comunicar o valor comercial de seus investimentos em segurança devem:
- Explorar a ampla gama de métodos de comunicação de valor disponíveis;
- Avaliar as características e implicações de uso dos métodos disponíveis;
- Capturar o contexto para sua iniciativa de comunicação de valor, incluindo os objetivos, fatores de influência e o público principal da comunicação
Existem muitas maneiras de capturar e comunicar o valor da segurança cibernética. Especialmente em termos de negócios, com vantagens próprias e desvantagens, dependendo do contexto. Contudo, esta pesquisa ajuda líderes de segurança e gerenciamento de risco escolherem comunicações e abordagens que terão ressonância com a linha de negócios.
Desafios
Comunicar o valor da segurança é uma tarefa desafiadora. Portanto, perspectivas diferentes são necessárias para transmitir diferentes aspectos do retorno sobre o investimento (ROI), usando métodos quantitativos.
Variedade de métodos
Há uma série de métodos e abordagens em evolução para comunicar o valor comercial dos investimentos em segurança. Nenhum deles é perfeito, contudo, todos eles têm vantagens e desvantagens que os tornam úteis para contextos específicos.
Escolhas ruins
Os líderes de segurança cibernética costumam usar o método errado para comunicar o valor de investimentos. Isso resulta em uma postura de segurança desnecessariamente fraca. Então, é fundamental explorar a ampla gama de métodos de comunicação de valor disponíveis, a fim de avaliar as opções disponíveis. Contudo, avalie as características e implicações de uso dos métodos disponíveis, a fim de selecionar os métodos adequados às suas necessidades.
Contexto é importante
Capture o contexto para sua iniciativa de comunicação de valor, incluindo os objetivos, fatores que influenciam e o público principal da comunicação para que eles possam tomar uma decisão informada.
Primeiros passos
Comunicar eficazmente o valor comercial da segurança cibernética continua sendo um desafio para a maioria das organizações. Isso se deve em grande parte ao fato de que a capacidade de segurança cibernética não impulsiona retornos financeiros diretos. Portanto, para ter sucesso, o líder de segurança precisa “traduzir” a linguagem de segurança em linguagem de negócios.
Existem vários métodos e modelos diferentes (como ROI, análise de custo-benefício e KPIs) disponíveis que ostensivamente apoiam este objetivo. Entretanto, todos eles têm suas próprias vantagens e desvantagens quando aplicados à cibersegurança.
Vale ressaltar que usar a abordagem errada para um determinado contexto pode ter resultados negativos e consequências não intencionais. Então, como os CISOs devem selecionar a abordagem mais apropriada? Pois ele deve compreender, caso a caso, seu contexto para a comunicação de valor. Então, em seguida, deve-se analisar as características dos respectivos métodos, a fim de selecionar o mais apropriado.
O contexto de qualquer comunicação de valor é descrito pelos objetivos da comunicação e os fatores que são exclusivos da empresa. Os objetivos podem ser obter investimento para um novo programa de segurança ou para um indivíduo ou projeto, para comparar novas alternativas de investimento ou para fornecer garantia no valor do programa existente. Além disso, fatores que influenciarão a comunicação de valor incluem:
- Cultura de liderança da empresa;
- Público;
- Maturidade do programa de segurança;
- Complexidade do método de comunicação;
- Disponibilidade de dados de entrada.
Explore a gama de métodos de comunicação de valor disponível
A cibersegurança normalmente não produz retornos financeiros diretos; ou seja, não é um gerador direto de receita ou de economia de custos. Portanto, comunicar eficazmente o valor de investir em segurança cibernética em termos de negócios continua sendo um desafio. Então, para lidar com este enigma, profissionais de segurança desenvolveram e adaptaram uma ampla gama de valores e métodos de comunicação.
Vale lembrar que cada um desses métodos tem suas próprias características. Essas características, por sua vez, resultam em implicações de uso específicas que devem ser consideradas ao selecionar o método mais apropriado. Entretanto, todos esses métodos são baseados em métricas e fatores “acima da linha” (isto é, estratégicos). Ou seja, são potencialmente apropriados para a comunicação do valor do negócio. No entanto, usar um método inapropriado para um determinado contexto não resultará nos resultados desejados.
É notável que haja alguma sobreposição entre as abordagens. Isso significa que algumas podem ser usadas como entrada, ou um subconjunto, de outra abordagem. Por exemplo, retorno sobre o investimento em segurança (ROSI) pode ser um elemento eficaz de uma abordagem de análise de preço / desempenho (PPA) ou uma abordagem do modelo Gartner 4i.
A avaliação quantitativa de risco é muitas vezes considerada o Santo Graal para ilustrar o valor de investimento em segurança. No entanto, a quantificação de risco demonstrou muitas limitações na base de clientes do Gartner. Portanto, não deve ser considerada uma panaceia. Afinal, é caro de implementar, limitado em sua capacidade de informar a tomada de decisão. Não obstante, sofre de problemas de credibilidade relacionados às suposições necessárias. Dito isso, avaliação de risco (quantitativa ou qualitativa) pode ser um elemento-chave para capturar o valor de um recurso de segurança.
Características e implicações de uso dos métodos disponíveis
Confira uma breve introdução a esses métodos:
O modelo Gartner 4i
O Modelo 4i é um método de comunicar o valor da segurança cibernética que visa articular os benefícios da segurança cibernética via mensagens de valor comercial.
O modelo descreve quatro dimensões em relação às quais o valor comercial do investimento em atividades estratégicas de segurança da informação pode ser capturado, resumido e comunicado em um formato conciso:
- Integridade, que enfatiza o impacto da confiabilidade e disponibilidade de operações de negócio. Os benefícios são manifestados como melhorias contínuas na confidencialidade, disponibilidade e precisão das informações e processos de negócios;
- Investimento, que captura os retornos esperados. O valor normalmente pode ser articulado como retorno financeiro esperado, aprimoramento da marca, competitivo diferenciação, agilidade futura e adaptabilidade organizacional;
- Seguros e garantias, que tratam dos benefícios do gerenciamento de riscos. Obtém-se estes resultados a partir de uma maior percepção dos fatores de risco das informações que a organização enfrenta. Então, isso culmina na identificação da avaliação de risco mais eficaz e apropriada. As opções de gerenciamento de risco incluem aceitar, evitar, transferir, mitigar ou ignorar os riscos avaliados;
- Indenização, que destaca os benefícios de conformidade de limitar regulamentos e exposição das partes interessadas. Isso resulta de uma maior conscientização, aumento da responsabilidade, maior apoio às partes interessadas e, consequentemente, melhoria jurídica e conformidade regulatória.
Motivadores
A aplicação do modelo envolve primeiro a identificação dos motivadores, como:
- Corte de custos;
- Diversificação do produto;
- Digitalização;
- Risco regulatório.
Contudo, estes são exclusivos da organização e indexados contra as quatro dimensões de valor. Então, o portfólio de projetos que constituem o projeto de cibersegurança proposto pode ser mapeado para os drivers em categorias de valor.
Em essência, ele constrói um mapa lógico entre os projetos recomendados (o que) contra os motivadores (por quê) e o valor de negócios esperado. Portanto, o Modelo 4i é particularmente útil para comunicar o valor de negócios esperado de um novo programa de segurança cibernética e seu roteiro associado de maneira clara e concisa. No entanto, a premissa básica de vincular os investimentos propostos ao valor esperado por meio dos motivadores de negócios pertinentes também podem ser aplicados a investimentos em um único projeto. Além disso, alguns clientes Gartner também usam o modelo para comunicar o valor das iniciativas de segurança cibernética.
Entretanto, esse método não é adequado para situações em que os executivos exigem dados quantitativos específicos sobre os investimentos propostos.
Método de gerenciamento de valor baseado em risco
A gestão de valor ajustado ao risco (RVM) é uma metodologia ascendente. Seu intuito é visualizar o impacto imediato de uma atividade específica nas metas de negócios. Portanto, destina-se principalmente a preencher a lacuna entre as atividades de segurança e execução da estratégia no nível organizacional.
Ou seja, um exercício de RVM bem-sucedido resultaria em partes interessadas executivas sendo capazes de compreender e alinhar claramente o valor da segurança para o negócio em geral. Nop entanto, o RVM depende fortemente do uso de cadeias de valor e fluxos de valor que incorporam vetores de risco em todas as fases da criação de valor.
Ele pode ter como escopo um domínio ou processo individual com escopo definido para incluir toda a empresa. Já as cadeias de valor são criadas como um exercício conjunto com membros de todos os estágios de criação de valor. Este exercício pode ser iniciado em qualquer ponto na cadeia (por exemplo, no departamento de TI ou na segurança da informação). Contudo, cadeias mais eficazes são criadas de ponta a ponta desde as primeiras partes da criação de valor e serviços de apoio por meio de objetivos de nível de conselho e missão.
Portanto, o modelo RVM é mais bem usado para comunicar qualitativamente o impacto dos processos e riscos relacionados à segurança cibernética para um público executivo que está lutando para encontrar o valor em investimentos em segurança cibernética. Entretanto, também pode ser usado para explicar / comunicar a mitigação de risco, problemas e controles no nível comercial / operacional, vinculando-os à dependência de tecnologia. Dessa forma, não é um bom ajuste para articular o desempenho de um programa de segurança, roteiro ou investimentos em projetos individuais.
Abordagem orientada para resultados
É um modelo de governança que envolve executivos na tomada de decisões de negócios. Afinal, dá aos executivos o poder de escolher financiar o nível certo de recursos de segurança cibernética em um contexto empresarial
Uma abordagem orientada a resultados (ODA) para a segurança cibernética é um processo de governança para conduzir prioridades e investimentos por resultados com uma linha de visão direta para níveis de proteção em um contexto empresarial. Afinal, o ODA permite uma governança mais eficaz sobre a segurança cibernética. Isso é feito por abstrair ferramentas, pessoas e processos para refletir o quão bem uma organização é protegida, ao invés de como ele é protegido.
ODA é composto por um conjunto discreto de elementos que resultam em monitoramento contínuo de resultados. Portanto, ele permite o ajuste contínuo das prioridades de segurança cibernética e dos investimentos. Não obstante, o ODA é alimentado por métricas orientadas a resultados que criam um conjunto mais rico de conhecimento para escolher prioridades e investimentos em um programa de segurança cibernética.
Portanto, a abordagem de ODA é adequada para apoiar:
- A compensação (custo de oportunidade);
- Decisões de investimento para organizações com experiência em orientação para resultados;
- Gestão e modelagem de cenários.
Entretanto, é menos adequado para apoiar a segurança e decisões de investimento do programa / roteiro. Afinal, baseia-se em um alto nível de maturidade do programa.
Método de avaliação de risco de dados financeiros
Esta abordagem aproveita a governança de segurança de dados e avaliações de risco para permitir que os CIOs e CISOs traduzam a linguagem dos riscos de segurança e privacidade para a linguagem de riscos e resultados de negócios.
Portanto, comunicar o valor da segurança cibernética dessa forma requer cooperação com líderes empresariais. Afinal, é necessário entender por que cada conjunto de dados está sendo usado e identificar os riscos de negócios que podem afetar os resultados de negócios. Seja localmente ou em toda a organização.
Contudo, isso permite que as decisões de negócios equilibrem níveis aceitáveis de resultados de negócios com um nível aceitável de negócios e mitigação de risco. Ele usa a infonomia do Gartner e as técnicas FinDRA para ajudar a alcançar uma abordagem de responsabilidade compartilhada para análises financeiras de projetos ou serviços que usam dados. Isso é feito abrangendo níveis aceitos de risco financeiro futuro e custos para gerenciar esses riscos usando investimentos em segurança.
Já o FinDRA é adequado para ambientes ou processos onde o valor dos dados é fundamental e claramente compreendido. Então, é menos adequado para investimentos onde a ligação entre os controles de segurança e o valor dos dados não são explícitos ou bem compreendidos. Baseia-se em um alto nível de maturidade do programa.
Outros métodos comumente usados
Análise de preço / desempenho
Este método é uma evolução da análise de custo-benefício básica. Afinal, compara a expectativa de desempenho (quantitativas e / ou qualitativas) em relação ao preço / custo de um projeto. Então, é bem adequado para projetos de investimento discretos e está bem estabelecido. No entanto, o método pode ser complicado pela dificuldade em encontrar dados quantitativos defensáveis. Além disso, por si só, não fornece benefícios qualitativos em formação.
Retorno sobre o investimento em segurança
O ROSI expressa os retornos financeiros esperados diretamente resultantes de uma proposta de investimento. É intuitivamente compreendido pelos executivos, que muitas vezes insistem nisso. Geralmente ocorre com base em uma avaliação de risco quantitativa. No entanto, uma falta de segurança atuarial defensável dos dados de impacto frequentemente resultam em suposições quantitativas que podem ser contestadas. Portanto, costuma ser percebido como um modelo puramente financeiro. Afinal, ele normalmente ignora os benefícios qualitativos de um dado investimento. Entretanto, ele pode ser usado como um componente de outros métodos como o Modelo Gartner 4i, por exemplo.
Catálogo de serviços de segurança
Um catálogo de serviços é um método operacional para vincular custo (ou preços) ao valor percebido de serviços de segurança definidos específicos. É intuitivamente entendido pelos executivos que precisam consumir serviços de segurança cibernética de uma maneira pseudo-comercial. Contudo, normalmente não expressa o custo dos insumos e requer contabilidade de custos para vincular os preços aos custos dos insumos. Isso também dificulta a integração com novas soluções específicas. Portanto, é iminente adequado para empresas acostumadas a consumir serviços de TI em uma base de estorno ou showback.
Balanced scorecard
Um balanced scorecard é uma abordagem qualitativa para demonstrar a contribuição de valor. Isso mostra um instantâneo do status do impacto da segurança nas principais metas de negócios. Está claramente ligado às métricas de segurança operacional para objetivos de negócios de alto nível, contudo, não é quantitativa e não é usado para articular o valor de novos investimentos. Então, efetivamente, o objetivo do balanced scorecard é medir seu desempenho em relação a objetivos definidos que você estabeleceu contra iniciativas de conselho / negócios.
Avaliação de maturidade do programa de segurança
Trata-se de uma abordagem qualitativa baseada em uma avaliação da maturidade relativa do programa titular. Portanto, é relativamente fácil de avaliar e comparar e destaca claramente as áreas para investimento potencial. Ou seja, é uma boa opção para organizações onde as avaliações de maturidade são usadas regularmente. Mas também boa para organizações com baixa afinidade para análise detalhada de risco e ROI. Contudo, não vincula explicitamente o investimento a impulsionadores de negócios ou benefícios específicos além da maturidade aprimorada.
Capture o contexto do seu exercício de comunicação
Para estabelecer o contexto para comunicar o valor da segurança cibernética, comece identificando os objetivos do exercício de comunicação. É para:
- Assegurar financiamento para um novo programa e roteiro associado de projetos?
- Garantir financiamento para um projeto de segurança individual?
- Defende decisões de investimento de diferentes alternativas de investimento?
- Fornecer garantia do valor do programa de segurança existente?
Cada um desses objetivos tem uma série de métodos de comunicação potenciais que podem ser mais apropriados. Entretanto, a seleção do método apropriado requer a avaliação de fatores adicionais que ditarão o contexto. Esses fatores normalmente incluem:
- A maturidade do programa de segurança cibernética e a capacidade de desenvolver modelos de valores complexos;
- A complexidade dos métodos de comunicação considerados;
- A disponibilidade e qualidade dos dados necessários;
- O público-alvo da comunicação. É o CEO, o conselho, o CRO, o comitê de direção? Afinal, cada um deles terá aspectos diferentes aos quais se relacionam.
Então, depois de entender o contexto de seus requisitos de comunicação de valor, compare-o com as características e implicações de uso dos respectivos métodos. Contudo, não esqueça de incluir a cultura da empresa. Especialmente no que diz respeito ao seu apetite de risco e atitude para lidar com o risco.