Um orçamento individual sem magia pensado para salvaguardar as contas

Qual a percentagem que as empresas devem alocar do seu orçamento para a área de cibersegurança?

Ricardo Negrão
Head of Cyber Risk
da Aon
Mais que o valor para o orçamento de cibersegurança é importante saber o ponto de partida, isto é, qual o nível de maturidade para este risco, pois o valor a orçamentar será diferente estando numa maturidade mais baixa ou mais elevada. A avaliação de risco cibernético permite às empresas identificarem onde se encontram e definir um plano de melhoria onde mitigam as vulnerabilidades com a implementação de controlos adequados.
Além do ponto de partida, consideramos que existem outros fatores que afetam o valor percentual do orçamento e que devem ser avaliados. Por exemplo, a dependência tecnológica do nosso negócio tem um impacto na percentagem alocada, pois quanto maior for a sua dependência tecnológica maior é o risco e a necessidade de elevar a maturidade de cibersegurança, e com isso ter orçamentos superiores. Outro fator está relacionado com o tipo de informação que gerimos, se é sensível, confidencial, propriedade intelectual, dados pessoais e que faz variar os controlos de segurança a implementar perante os riscos e impactos identificados.

A nossa visão é que não se deve dissociar a segurança física da segurança tecnológica, isto é, a segurança deve ser olhada como um todo e não ser separada do ponto de vista organizacional nem orçamental, uma vez que uma vulnerabilidade na segurança física pode originar impactos significativos. Por exemplo, numa instalação industrial onde existam falhas nos controlos de acesso físico aos ativos da tecnologia industrial podem facilitar uma instrução na rede industrial, mesmo sem a mesma estar liga à internet.

Tendo em conta esta nossa visão defendemos que as organizações devem alocar 5% a 10% do seu orçamento de IT, variando este valor dos fatores acima identificados.

E por fim, dar uma última nota que existe outra componente relevante nos controlos deste risco que nunca está alocado aos orçamentos de IT, nem de cibersegurança que é o risco dos seguros, onde o investimento num seguro para o Risco Cibernético representa um investimento significativo, mas é uma forte proteção em termos do impacto financeiro que os incidentes de segurança originam.n em Portugal.

David Grave
Diretor de Cibersegurança
na Claranet
Para as empresas, o investimento na cibersegurança deverá ser uma preocupação crucial. A não alocação de recursos de ciberproteção pode deixar uma organização vulnerável a ataques de vários tipos, resultando, com grande probabilidade, em danos computacionais, financeiros, legais e reputacionais.

Existe, entre os fabricantes e fornecedores de soluções de proteção digital, um consenso relativo à recomendação de as empresas reservarem entre 5% e 15% das suas receitas para investimentos em cibersegurança. Contudo, o orçamento que uma organização deve atribuir à cibersegurança não é fixo e depende de vários fatores, como a sua dimensão, complexidade do negócio ou a área de atuação.

É também importante assumir que o investimento em cibersegurança, hoje, deverá ser diferente daquele que era realizado há alguns anos. Além de investir em tecnologias de proteção inteligente dos dispositivos, das aplicações e das infraestruturas utilizadas, há que considerar o investimento no conhecimento e na consciencialização dos colaboradores – eles tornaram-se num fator decisivo, de primeira linha, para a proteção dos sistemas e da informação das organizações.

Dependendo dos requisitos e dos recursos disponíveis, algumas organizações poderão necessitar de investir substancialmente mais em cibersegurança, enquanto outras podem afetar menos recursos.

Rui Shantilal
Managing Partner
da Integrity part of Devoteam
A cibersegurança é um tópico que está atualmente na agenda dos gestores, nomeadamente nas grandes empresas, mas que tem um impacto significativo no negócio em qualquer sector. Como clientes ou consumidores já nos confrontamos com sistemas de informação “em baixo”. Enquanto profissional de cibersegurança, recordo-me por exemplo de uma transportadora aérea que tinha os aviões todos em pista porque sem sistema não conseguia identificar o que cada avião deveria transportar. Enquanto consumidor já estive num restaurante onde o menu acessível por qr-cod não estava disponível.

Problemas de integridade ou confidencialidade podem causar impactos adversos similares ou maiores que problemas de disponibilidade, como mencionados.

Estas áreas de atuação são o foco da prática de cibersegurança, que ajuda a identificar, gerir e reduzir os riscos. Numa altura em que o cibercrime organizado está a crescer, as empresas têm cada vez mais de investir para equilibrar a balança e continuarem a usufruir de todos os benefícios com riscos aceitáveis para as organizações, consumidores e de acordo com a legislação e regulação.

Um estudo da Deloitte de 2020 indicava que as empresas despendiam entre 4% e 10% do seu budget de IT em cibersegurança, mas certamente que hoje os valores serão superiores. É preciso ter em consideração que a cibersegurança é um campo dinâmico, e as ameaças estão em constante evolução, logo é importante ter presente que as empresas devem adotar uma abordagem adaptativa e contínua para alocar recursos, ajustando os investimentos conforme a dinâmica no cenário de ameaças e no contexto de negócio.

Os típicos investimentos variam também por sector de atividade, dependência e grau de risco e também considerando o tamanho das organizações. A crescente utilização da tecnologia, bem como o aumento da exigência regulatória irá continuar a exigir cada vez mais investimentos, para que as empresas possam continuar a tirar partido da eficiência e eficácia resultante da tecnologia.

Deryck Mitchelson
Chief Information
Security Officer e C-Suite Advisor
da Check Point Software
A digitalização, e a sua posterior aceleração, trouxeram novos desafios para as empresas. Atualmente, para se protegerem bem como aos seus clientes, precisam de investir e ter muitos mais cuidados no que toca às superfícies de ataque que uma solução de cibersegurança tem de proteger, sendo ainda mais crítico nas PME pela complexidade e reduzido ou inexistente número de recursos humanos especializados em segurança alocados.
Em termos percentuais, as boas práticas de alocação orçamental para a área de cibersegurança indicam que se deverá investir no mínimo 10% do orçamento de TI. No entanto, este valor vai depender do sector de atividade, do nível de maturidade de cibersegurança da empresa. Uma alocação na ordem de 10% do orçamento para a área de cibersegurança é um valor aceitável, correto e confortável.

Esta percentagem deve ser dividida em vários níveis de investimento. Para assegurar bons resultados na área de cibersegurança, é preciso começar por formar as pessoas, apostar em soluções de infraestrutura e software, que tenham como foco serem soluções compreensivas, consolidadas e colaborativas que levem os responsáveis de segurança (CISO) a criar uma política robusta de segurança de informação e ter uma ferramenta de gestão do ecossistema organizacional e de reporte de incidentes integrada.

No entanto, nunca estamos 100% seguros. Logo a seguir a ser conhecida e controlada uma ameaça, aparece uma nova. Todos os dias os especialistas se deparam com novos processos de ataque que têm de analisar e controlar. Para debelar ou evitar este tipo de eventos, é responsabilidade de cada CISO ter uma visão preventiva de segurança, onde monitorizar, validar, testar todos os vetores e superfícies de ataque passa a ser uma postura e atividade diária pro-ativa, reduzindo drasticamente o sucesso de um potencial ataque.

João Sequeira
Director for the Secure e-Solutions
da GMV em Portugal
Vivemos num mundo cada vez mais digital, onde a cibersegurança é uma peça fundamental na gestão do risco de qualquer organização. Com o aumentar das ameaças cibernéticas como roubo de dados ransomware, e outros ataques à infraestrutura digital de uma empresa, leva-nos a pensar que tem de haver investimento para salvaguardar a informação bem como a reputação de uma empresa.

Quando pensamos no investimento em cibersegurança um ponto fulcral é que prevenir é sempre significativamente mais barato. Como em qualquer área, para chegarmos a um valor a ser distribuído este deve ter um claro Return on Investment mas quando falamos da cibersegurança o valor pode não ser óbvio. Como o cenário das ameaças é dinâmico quando se acumula uma quantidade relevante de dados, já há um novo modelo de ameaça para o qual não temos dados. Para calcular quanto deve ser atribuído à cibersegurança em primeiro lugar é necessário fazer uma correta análise de risco, bem como normas e standards que devem ser cumpridos. Sabemos que uma empresa na área financeira ou de saúde terá um maior investimento na cibersegurança, mas empresas mais pequenas também não devem descurar o tema, devendo pelo menos ter um sistema de gestão da segurança da informação, antivirus, firewall. Um outro ponto relevante prende-se com a postura de segurança de uma empresa, manter um sistema existente é menos oneroso que criar um novo. Segundo a Gartner, uma empresa deve alocar aproximadamente 5% do seu orçamento de IT à cibersegurança. Este número não se adequa a todas as empresas, e sectores mais sensíveis como a banca, alocam em média 10% do orçamento.
Quando estamos a considerar o orçamento para a cibersegurança numa empresa não existe uma abordagem única. Este deve ser justificado com base nos riscos a que estamos expostos, requisitos legais, a postura da empresa e os seus objetivos. O investimento em cibersegurança não é apenas uma decisão financeira, mas um aspeto crucial na proteção da reputação da empresa e confiança dos clientes.

Bruno Castro
CEO
da VisionWare
Os ciberataques são dos principais desafios que as empresas e organizações enfrentam de forma diária. Não há uma resposta única para determinar a percentagem ideal de orçamento a ser dedicada à cibersegurança, já que cada empresa tem suas particularidades e necessidades específicas. Contudo, de uma forma genérica, especialistas recomendam que as empresas dediquem 10-12% do orçamento à cibersegurança. Essa faixa poderá variar dependendo da dimensão da empresa, sector de atuação, nível de sensibilidade das informações geridas e complexidade da infraestrutura.

A cibersegurança deverá constituir uma rubrica indispensável de investimento dos sistemas de informação das organizações. O investimento implicado deverá estar diretamente relacionado com o risco de ciberataque ligado ao impacto dos sistemas de informação dentro da organização; por exemplo, um banco deverá gastar uma % superior do seu orçamento (relativamente a outros sectores), uma vez que terá muito mais a perder com um eventual incidente informático, como a perda total da confiança dos seus clientes. Desta feita, o cálculo da % deverá estar intrinsecamente associado ao controlo do risco de operações, devendo alocar o orçamento para gastos em cibersegurança baseado numa análise de risco, mantendo os níveis de segurança suficientes para contrapor qualquer risco ou impacto negativo ao negócio, ou até mesmo, para evitar a total perda de atividade.
Será vital olhar para o investimento em segurança não como um gasto, mas antes como um investimento regular e contínuo para fazer face a eventuais quebras de atividade e danos negativos. É essencial proteger os ativos das empresas, valorizá-los, minimizando quaisquer impactos nocivos às empresas.

Com base na experiência, recomendamos que seja efetuada uma análise baseada no risco que determinará uma % do investimento alocado à atividade em cibersegurança, a qual deverá rondar valores reais, acreditamos, situados entre os 20-30%.

A cibersegurança não deve ser vista apenas como um custo adicional para as empresas, mas como um investimento que trará retorno a longo prazo. Um ataque cibernético poderá causar danos irreparáveis à reputação de uma empresa, além de prejuízos financeiros avultados, perda de confiança e de clientes. Por outro lado, investir em cibersegurança poderá aumentar a confiança dos clientes e parceiros de negócios, além de reduzir os riscos de interrupções no funcionamento dos sistemas e perda ou fuga de dados.

Maria Antónia Saldanha
Country Manager
da Mastercard Portugal
A cibersegurança existe para fortalecer componentes vulneráveis de determinadas empresas contra eventuais incidentes e é esse o nosso primeiro objetivo. Contudo, quando se dimensiona o investimento em cibersegurança, deve, também, ter-se em consideração uma visão holística de todas as entidades que se relacionam num determinado ecossistema para se conseguir aumentar substancialmente a ciber resiliência.
Isto é, se considerarmos que o cibercrime custa à economia global cerca de 5% do PIB mundial (cerca de 5 triliões de euros) e que o conjunto de inter-relações que as empresas têm entre si, então, facilmente nos apercebemos que os desafios da cibersegurança ultrapassam aquilo que ainda há uns anos considerávamos os limites naturais das organizações. E se em cima disto pusermos os desafios associados à engenharia social, ao teletrabalho ou ao e-commerce, então os requisitos para a cibersegurança ganham uma dimensão ainda mais relevante.

Esta a abordagem a um “nós” coletivo em cibersegurança cruza uma linha, por vezes, invisível, que separa uma empresa dos seus parceiros, e é uma abordagem desafiante se tivermos em consideração que apenas 53% das empresas afirmam confiar plenamente na segurança cibernética dos seus parceiros . Por outro lado, avaliar os problemas de segurança dos parceiros pode não ser uma tarefa fácil e as autoavaliações correm o risco de não serem credíveis se não forem validadas por uma entidade independente. Neste caso, o problema não é tanto a natureza paternalista de muitas abordagens, mas as dúvidas que levanta acerca da eventual pouca confiabilidade da empresa parceira.

Além disso, muitas empresas, principalmente as de menor dimensão, enfrentam, por vezes, o dilema sobre o tipo de investimento que devem fazer para se manterem competitivas. Isto é, se devem investir em tecnologia produtiva ou se devem investir em cibersegurança .

Diferentes indústrias enfrentam, também, diferentes desafios e, por isso, a decisão sobre a dimensão do orçamento em cibersegurança deve ser o resultado de uma equação que ponha em proporção o ganho obtido pelas reduções marginais no risco em relação aos investimentos necessários e, portanto, tudo se resume a um equilíbrio entre as duas escolhas.

Paula Fernandes
Security Business Group Lead
na Microsoft Portugal
Nos últimos anos, registou-se um aumento significativo do número e da sofisticação dos ataques cibernéticos. Só em 2022, a Microsoft analisou 70 biliões de sinais e bloqueou 65 mil milhões de ataques. A cibersegurança é um trabalho permanente e o nosso compromisso passa por recorrer a dados e inteligência para continuar a evoluir a capacidade de prevenção, resposta e mitigação de riscos, à medida que navegamos o mundo crescentemente híbrido e multi-cloud. Ajudamos as empresas no processo contínuo, mas os valores a alocar dependerão da atividade, necessidades específicas, e do potencial de risco de cada empresa. Ainda assim, há dados que nos podem ajudar a ter uma perceção das tendências de investimento. A Gartner estima que os gastos globais em segurança e gestão de risco cresçam mais de 11% ao longo deste ano e é expectável que esse número duplique até 2026. Segundo o survey divulgado no último Gartner IT Symposium, 66% dos CIOs admitem aumentar o investimento em cibersegurança. Em resumo, a cibersegurança tem de ser uma prioridade das organizações e essa alocação deve ser medida tendo em consideração o grau de maturidade e postura de segurança presente e o potencial nefasto de um eventual (quase inevitável) breach.

Porque sabemos que as empresas têm de equilibrar os seus investimentos, procurando ser cada vez mais eficientes e produtivas, anunciámos o Microsoft Security Copilot, uma solução única no mercado que combina grandes modelos de linguagem da OpenAI com o nosso modelo de segurança, alimentado por uma vasta inteligência de todos os sinais que recebemos e bloqueamos diariamente. Este é o primeiro produto de segurança com IA generativa, e que poderá simplificar o trabalho das equipas de segurança das organizações, amplificando as capacidades dos profissionais. Este serviço faz a identificação de atividades maliciosas, ajuda a correlacionar e resumir dados dos ataques, disponibiliza recomendações para ações de mitigação e faz prevenção de ameaças em tempo real, além de aprender com a informação gerada.

A cibersegurança é um imperativo para todas as organizações e as suas consequências podem ser dramáticas, em particular, para PME, que compõem 99% do tecido empresarial português. Segundo o Instituto Ponemon, podem custar entre 33 mil e 500 mil euros, e representar unidades de investimento bastante inferiores aos custos que terão na sequência de um ataque.

José Gonçalves
Cybersecurity Specialist
da Exclusive Networks
É importante notar que, embora investir em cibersegurança possa ser caro, o custo de uma violação ou incidente pode ser muito maior, incluindo perdas financeiras, danos à reputação (de difícil cálculo das reais perdas financeiras), responsabilidades legais e multas regulatórias. Por conseguinte, é essencial encontrar um equilíbrio entre o custo das medidas a implementar e os potenciais riscos e custos associados a uma violação.

Como regra geral, uma empresa deve alocar cerca de 5-10% do seu orçamento de TI para a cibersegurança, dependendo do tamanho e complexidade de sua infraestrutura de TI e do nível de risco que enfrenta. No entanto, este montante pode variar muito, e as empresas devem consultar especialistas em cibersegurança para determinar o nível de investimento adequado às suas necessidades e requisitos específicos.

Para garantir que o orçamento alocado para cibersegurança é suficiente, uma empresa deve tomar as seguintes medidas: realizar uma avaliação de risco (primeiro passo é avaliar os riscos de cibersegurança enfrentados. Isso ajudará a determinar a probabilidade e impacto potencial de uma violação ou incidente de cibersegurança); desenvolver uma estratégia de cibersegurança (com base na avaliação de risco, a empresa deve desenvolver uma estratégia de cibersegurança que delineie as medidas específicas a tomar para mitigar os riscos); omplementar controlos (uma vez desenvolvida a estratégia, a empresa deve implementar os controlos delineados); monitorizar e avaliar (a empresa deve monitorizar regularmente a eficácia dos controlos de cibersegurança implementados e avaliar a eficácia global); revisão de orçamento (empresa deve realizar uma revisão anual do orçamento para garantir que este é suficiente para cobrir os custos da estratégia de cibersegurança. Se o orçamento for considerado insuficiente, podem ser feitos ajustes para garantir a disponibilidade dos fundos necessários).

John Shier
Field CTO
da Sophos
Não existe um valor mágico que garanta que, investindo em cibersegurança, as empresas não sejam vítimas de um ciberataque. O custo real vai ser diferente de uma organização para outra; o essencial é que cada uma entenda o que precisa de ser protegido e avalie criticamente a sua capacidade atual para o fazer. A lacuna entre os controlos existentes e os que falta implementar será o seu orçamento.

O que posso dizer é que será sempre mais barato prevenir um ataque do que recuperar de um. Por exemplo, as cidades norte-americanas de Baltimore e Atlanta foram atingidas por ransomware e gastaram quase 20 milhões de dólares cada uma para recuperar deles.

Um fator a considerar é dar à equipa de cibersegurança o seu próprio orçamento, não estando este relacionado ou dependente de outras prioridades organizacionais. Uma parte do orçamento de segurança deverá ser sempre dinâmica e sujeita às prioridades do negócio. Haverá, no entanto, alguns custos recorrentes mais previsíveis a cada ano; mas mesmo estes também estão sujeitos a forças económicas. O equilíbrio entre uns e outros será parcialmente determinado pelo grau de maturidade das empresas. As organizações mais maduras terão uma base mais estável e gastarão menos tempo e dinheiro a gerir dívidas de tecnologia, a remediar a falta de proteção e a dar resposta a incidentes.

António Correia
Area Sales Manager
da WatchGuard Portugal
Não há um número mágico que se adeque a todas as empresas, sectores de atividade e dimensões. Mas a verdade é que o caminho para a transformação digital do tecido empresarial implica obrigatoriamente investimentos globais em tecnologia. Portugal é um país feito de PMEs e isso não pode ser ignorado. A nossa sobrevivência futura depende de sermos capazes de aumentar a eficiência e, para o efeito, devemos abordar os planos de digitalização urgentes de amanhã que, na sua maioria, dependem de uma gestão eficaz do PRR.

Pode dizer-se que estamos no caminho certo para entrar no comboio da inovação, que desta vez não pode ser desperdiçado, se tal acontecer Portugal sofrerá em todos os sectores e em vez de seguir em frente, volta para a casa de partida. Mas, para o fazer, há aspetos que precisam de ser eliminados o mais rapidamente possível, um deles, e o que considero o mais importante, é a abordagem ligeira que os gestores têm perante a cibersegurança. Portugal continua a ser, segundo um estudo publicado no site do Gabinete de Estratégia e Estudos do Ministério da Economia, um dos países europeus com menor volume de investimento em cibersegurança.

Este cenário é preocupante quando, de acordo com o mesmo estudo, somos um dos países europeus mais vulneráveis ao cibercrime. As empresas tendem a investir mais na prevenção de falhas e menos em estratégias desenhadas para detetar e antever futuros ataques. É, por isso, essencial prevenir, detetar e responder a qualquer tipo de ciberameaças, bem como consciencializar os recursos humanos para as principais ameaças à segurança que podem afetá-los, especialmente quando estão fora do perímetro da rede da empresa, preservando a sua produtividade ao mesmo tempo.

Dito tudo isto, acredito que a onda de transformação digital que está em curso no nosso país, com grande foco na importância da cibersegurança das empresas portuguesas, irá gerar oportunidades de investimento e de negócio que poderão ser fundamentais para o desenvolvimento da nossa economia.

Lucila Kominsky
Chief Marketing Officer
da S21sec
De um modo geral, os especialistas defendem que se deve gastar entre 10% a 15% do orçamento de IT com a proteção contra data breaches e ciberataques. Este é um bom parâmetro, considerando que o sector financeiro é uma das áreas mais visadas em fraudes e ataques, porém esta não é uma resposta simples e completa. Há muitos fatores que influenciam a criação de um orçamento de cibersegurança, tais como a dimensão da empresa, a indústria, o tipo de dados com que a empresa trabalha, a variedade de ativos e dispositivos, os regulamentos locais. O investimento total em cibersegurança está a aumentar de ano para ano.

De acordo com empresas como a Gartner, a previsão mundial de despesas em segurança e gestão de riscos irá crescer 11,3% em 2023 para atingir mais de 170 mil milhões de euros. Em Portugal, o investimento global em segurança irá passar de 12,5% em 2022 para 16,8% em 2023. O mercado português de cibersegurança deverá registar um CAGR de 7,7% entre 2023-2028. A vulnerabilidade e exposição a vários ciberataques aumentou, a par com o número de dispositivos IoT. Prevê-se também que o mercado registe um crescimento significativo no sector da implementação da cloud. A segurança tem sido crítica em cada fase do ciclo de adoção da cloud. À medida que o fornecimento de serviços de IT passou de uma situação interna a uma situação externa às fronteiras de uma empresa.

Ana Silva
Territory Account Manager
da Kaspersky Portugal
Um estudo da PWC afirma que o reforço da cibersegurança pelas empresas tem sido impulsionado por uma maior utilização das tecnologias digitais e um cenário de ameaça crescente. Para saber quanto as empresas estão a gastar nesta área e os seus planos para o futuro, a Kaspersky realizou 3.230 entrevistas com empresas com mais de 50 empregados em todo o mundo.

Os resultados indicam que os orçamentos em cibersegurança irão crescer globalmente nos próximos três anos cerca de 10%, quer em PMEs, quer em grandes empresas.

Entre as razões para o aumentar dos orçamentos de segurança, os inquiridos destacaram a maior complexidade das infraestruturas de TI (45,8% para PMEs e 53,7% para grandes empresas) e a necessidade de melhorar o nível dos profissionais de cibersegurança (36% para PMEs e 33,7% para grandes empresas). A incerteza geopolítica e económica é também fundamental para aumentar os orçamentos em cibersegurança (28,2% para as PME e 33% para as grandes empresas).

A continuidade das empresas depende da segurança da informação. As infraestruturas tecnológicas estão a tornar-se cada vez mais complexas e isto cria uma maior consciencialização por parte das empresas para protegerem todos os ativos corporativos. A regulamentação em cada país é também um fator de aumento dos orçamentos de cibersegurança, à medida que os mercados regulamentares se tornam mais apertados, tanto em setores especializados como no geral.

Para aumentar a eficácia dos investimentos em segurança cibernética e reduzir o risco de ataques e violações de segurança, o endpoint deve ser protegido com soluções que incluam capacidades de deteção de ameaças e de resposta, estratégia esta reforçada com formação específica em cibersegurança para funcionários.

Alain Sanchez
EMEA Field CISO
da Fortinet
Quando se quantifica o investimento num determinado domínio como uma fração das receitas da empresa, torna-se uma preocupação da administração. Como a cibersegurança tem a missão de tornar o nosso mundo mais seguro, é legítimo que a comissão executiva faça uma avaliação comparativa dos seus custos da cibersegurança. Como nenhuma empresa está imune à ameaça, a cibersegurança torna-se cada vez mais escrutinada pelos stakeholders. Estarão os principais ativos da nossa cadeia de valor bem protegidos? Será que dimensionamos devidamente as nossas defesas contra uma ameaça cada dez mais sofisticada? Como é que o contexto geopolítico aumenta a ameaça? As nossas ferramentas de cibersegurança são suficientemente sofisticadas para garantir resistência?

Estas são boas questões. Em parte, porque estarão na mente de todos os stakeholders quando ocorrer o ataque, e também porque o ciber risco precisa de ser aprovisionado financeiramente. Neste sentido, a forma mais direta é perguntar a empresas tradicionalmente bem equipadas a importância da cibersegurança como uma fração dos seus gastos em TI. Em média, as organizações gastam 10% dos seus orçamentos de TI em cibersegurança, segundo o relatório IANS & Artico, Security Budget Benchmark Summary de 2022.

Mas estas também são perguntas enganadoras. A cibersegurança evolui rapidamente de um centro de custos para um inspirador de transformações digitais ambiciosas. Assim, em vez de a reportar como uma fração do resultado, a nova geração de Cyber Security Officers relaciona-a com o desempenho incremental da empresa possibilitado pela cibersegurança. Em domínios críticos como a triagem de eventos, por exemplo, quando se trata de incidentes de segurança e gestão de eventos em que os operadores especializados precisariam de 20 minutos para classificar um ataque real a partir de um conjunto de falsos positivos, a FortiSOAR demora três minutos. A submissão de um ficheiro ao motor de detonação da sandbox demora cerca de um minuto, em que o tempo de avanço manual varia de uma a seis horas. Corrigir e responder a um incidente é conseguido em cerca de cinco minutos pela integração do Security Fabric, em vez de uma hora. No total, o tempo de espera das oito operações que constituem a maior parte da atividade de um Centro de Operações de Segurança passa de 15 horas para cerca de 20 minutos.

Isto explica porque estamos a entrar tão fortemente na era das plataformas integradas e a abandonar a abordagem da velha guarda. Basta aplicar o tempo poupado numa tabela ao rendimento por hora alcançado pelas empresas para desenvolver um argumento comercial indiscutível para o seu próximo investimento em cibersegurança. É muito mais provável ganhar a atenção da direção desta forma do que as abordagens excessivamente utilizadas e orientadas para os custos.

Nabil Diab
Head of Cibersecurity
da Alter Solutions
Há uma questão primária essencial, à qual devemos responder primeiro: que orçamento deve uma organização atribuir às TI? Apenas com essa informação conseguimos compreender o investimento necessário para a cibersegurança.

Na Alter Solutions acreditamos que o orçamento das TI é um ponto crucial quando falamos de orçamento de cibersegurança, porque a primeira camada da cibersegurança é a higiene das TI. Com isto queremos dizer que o Departamento de TI deve ter ferramentas e colaboradores de TI com competências, experiência e tempo suficientes para gerir, manter e melhorar corretamente o sistema de organização da informação.

Comparando com o exemplo da saúde de uma pessoa: não é por ter um grande orçamento para médicos que alguém estará necessariamente em boa forma, mas sobretudo, por adotar um estilo de vida saudável (dieta, stress, desporto, etc.). O mesmo se aplica à segurança informática: se a empresa tiver uma má higiene informática, pode gastar milhões de Euros nos melhores produtos de cibersegurança do mercado, que continuará a ser altamente vulnerável.

Quanto ao orçamento de TI a atribuir, este varia consoante a tipologia da empresa: quanto mais as TI estiverem no coração do negócio, mais elevado deverá ser o seu orçamento. Podemos analisar dois extremos (excluindo fornecedores de serviços de TI, como a Alter Solutions): bancos e hospitais.

Atualmente, os bancos são extremamente dependentes dos serviços de TI devido à digitalização (quase) total do negócio. Os seus milhares de operações críticas diárias dependem dos serviços de TI. Assim, a dotação orçamental para TI cresceu e pode atingir até 25% do orçamento global.

Os hospitais estão a mudar para um mundo digital, desde a digitalização dos registos dos doentes até à ligação dos dispositivos médicos. Apesar de estas operações estarem relacionadas com vidas humanas, a área de TI é menos prioritária em comparação com outros componentes, quando o orçamento para dispositivos e funcionários é atribuído, e pode ser demasiado baixo.

Assim, na Alter Solutions consideramos que o orçamento de TI deve ser entre 4% e 25% dos custos globais e, quando este se encontra definido de forma adequada, é possível atribuir um orçamento dedicado à cibersegurança na ordem dos 10 a 15% do orçamento de TI.

Carla Zibreira
Digital Trust Business Unit Manager
na Axians
O atual e evolutivo ecossistema de ciberameaças manterá a pressão sobre as organizações para que ampliem e aprofundem as estratégias de defesa cibernética, expandindo a capacidade de deteção e melhorando a resposta a incidentes. Como tal, investir em cibersegurança deixou de ser opcional para passar a ser parte integrante do plano estratégico e de investimentos de qualquer organização.

Dados dos últimos anos mostram que as organizações investem cada vez mais em cibersegurança. A Gartner prevê que os gastos globais com segurança e gestão de riscos crescerão mais de 11% em 2023, de 158 mil milhões dólares em 2021 para 188 mil milhões. Espera-se que a tendência continue uma subida na ordem dos 11% até 2026, atingindo um total de 267,3 mil milhões. De acordo com dados recolhidos pela Statista, as organizações alocam pelo menos 12% de seu orçamento de TI em segurança da informação. A maior contribuição foi realizada em 2020, com 12,8%. Até 2022, as empresas alocaram 12,7% do seu orçamento para segurança de TI. Ainda assim, o número de ataques tem vindo a crescer, assim como o custo que atingiu um recorde histórico em 2022, com o custo médio de uma violação de dados estimado em 4,35 milhões, representando 2,6% de aumento em relação ao ano de 2021 (IBM Cost of a Data Breach Report 2022).

“Mas afinal, qual é o investimento necessário para se estar seguro?”. Infelizmente a resposta não é direta e seria mais fácil se houvesse um número ou uma fórmula universal ditando quanto se deveria alocar orçamentalmente à segurança cibernética, mas depende muito. Depende muito de vários fatores mas sobretudo de uma abordagem sustentada na gestão de risco e o consequente equilíbrio entre a exposição ao risco e o custo de um potencial incidente de cibersegurança. A definição do orçamento de segurança deve ser um processo proativo, que entenda o propósito da organização e ainda as motivações, riscos e oportunidades do ecossistema do ciberespaço. Que equacione aspetos como a dimensão do negócio, potencial de crescimento do negócio, complexidade e status do ecossistema tecnológico, o nível de maturidade relativamente à cibersegurança, assim como a valorização do risco de cibersegurança.

Mais gastos com cibersegurança não significa mais cibersegurança! É fundamental que os orçamentos sejam exercícios sustentados no conhecimento efetivo dos riscos, que permaneçam na linha de frente de qualquer estratégia de negócio na dimensão e na certeza de que o seu contributo para a resiliência do negócio se traduza na saúde financeira do mesmo.

Conteúdo reservado a assinantes. Para ler a versão completa, aceda aqui ao JE Leitor