Sabe aquele momento em que os adultos estão discutindo dinheiro e falam de porcentagens? “Investimos 5% do orçamento de TI em cibersegurança! É mais do que suficiente! Não vivemos só de cibersegurança!”
Eu escutei isso em toda minha carreira. Mas se você me perguntar o que esse 5% realmente significa, eu te digo: na maioria das vezes, significa SÓ CONFORTO, ou a falsa sensação dele.
É como se a gente estivesse construindo uma casa. O vizinho disse que gastou 5% do dinheiro dele só na cerca. Legal. Mas será que a sua casa não precisa de um telhado super reforçado e de um alarme especial porque você mora perto da floresta?
O Problema do Seguir a Média
O mundo corporativo adora seguir padrões. É fácil dizer: “Se a média do mercado investe 12%, eu invisto 12%.” Mas vou te contar um segredo que aprendi em 25 ANOS de carreira, em lugares que não podem falhar, como o Banco Central:
O risco não segue a média. O risco segue a oportunidade.
Se a sua empresa lida com dados de milhões de clientes (o “tesouro” da empresa) ou controla máquinas de uma fábrica (a “vida” da empresa), a chance de um ataque dar certo para você é muito maior do que para o vizinho.
O erro de focar na porcentagem é que você está tomando uma decisão de segurança baseada em um número de finanças que não considera a PROBABILIDADE de você ser o próximo alvo.
O Alvo e o Cofre (Apetite de Risco Descomplicado)
Para entender quanto você precisa gastar, a gente precisa entender o que chamamos de APETITE DE RISCO.
Imagine que a sua empresa tem 10 cofrinhos com coisas importantes:
- Cofrinho 1: Dados de clientes (MUITO VALIOSO)
- Cofrinho 2: O Wi-Fi da cozinha (POUCO VALIOSO)
O APETITE DE RISCO é o quanto a gente topa perder. No Cofrinho 1, nosso apetite deve ser QUASE ZERO. Não podemos perder nada. No Cofrinho 2, a gente até aceita que o Wi-Fi caia por cinco minutos.
A GRANDE SACADA: O dinheiro de segurança deve ir para o lugar que tem MAIOR RISCO e MENOR APETITE.
Se a sua chance de ser atacado é alta (você lida com LGPD, por exemplo) e seu apetite para perder é baixo, você pode precisar de 20%, 30% ou mais. Porque o seu objetivo é a busca da CIBERSEGURANÇA PERFEITA (o 99% ideal, já que nada é 100% seguro). O dinheiro é investido para construir a fortaleza que te leva para esse 99%.
A Escolha de Sobrevivência: Falir ou Investir?
Em cibersegurança, a decisão é quase sempre binária, como um interruptor: ligado ou desligado.
NÃO EXISTE MEIO TERMO QUANDO O ASSUNTO É SOBREVIVÊNCIA.
Você prefere economizar 5% do orçamento de TI este ano e arriscar um ataque de RANSOMWARE que custa 500 vezes esse valor no ano que vem, além da falência da CREDIBILIDADE?
Aí entra o meu trabalho como CISO e Consultor. Meu papel é trazer a CONSCIÊNCIA para a mesa.
Eu pergunto para o CEO: “Se o risco de perder seu ‘cofrinho’ é 7 em 10, você investiria X para diminuir para 1 em 10?”. Quando a gente usa essa linguagem, o dinheiro aparece, porque a liderança entende que está escolhendo NÃO FALIR.
Construindo a Fortaleza
O verdadeiro valor do investimento não está no quanto você gasta, mas em COMO você gasta.
É muito mais importante ter um ORANGE TEAM (Conscientização) forte e uma GOVERNANÇA que funciona, do que comprar o Firewall mais caro. A consciência é o seu primeiro e melhor investimento. É ela que impede o usuário de deixar a “porteira aberta”.
Portanto, a próxima vez que você ouvir sobre percentual de investimento em segurança, lembre-se:
O valor ideal de segurança não é o que o mercado investe. É o que o SEU NEGÓCIO exige para sobreviver.
