O documento discute desafios na justificativa de orçamento para Segurança da Informação, como superar o ceticismo de executivos e orçar atividades de maneira que resultados possam ser medidos. Também aborda críticas ao orçamento dos EUA para 2016, que prevê investimentos contra ciberataques, mas não soluciona problemas urgentes como incentivo à defesa de redes privadas.
1. Como financiar um CSO
Gestão da Informação e da Inteligência Empresarial
2. Dificuldades na justificativa de orçamento
Identificando orçamento aplicado incorretamente
• É comum que orçamento para Segurança da Informação seja
administrado ou dividido entre outras áreas (especialmente TI)
• Não é considerada a integração com a segurança física de
instalações corporativas
• Não são estabelecidos planos cuja efetividade possa ser medida
corretamente
3. Financiando CSOs com efetividade
Desafios enfrentados
• Superar o ceticismo de executivos
–Muitos CEOs e CFOs
“Nada de ruim está acontecendo.”
4. Financiando CSOs com efetividade
Desafios enfrentados
• Orçar atividades de maneira que resultados possam ser obtidos e
medidos
✓ Cada resultando conta, mesmo que não ocorram incidentes
na organização
✓ No planejamento, mostrar a efetividade sobre os
investimentos a serem feitos reforça o sucesso de projetos de
segurança da informação
6. Orçamento norte-americano para 2016 prevê
investimentos contra ciberataques no país
Proposta é alocar US$14 bilhões para ações federais
defendendo o tema
7. Orçamento norte-americano para 2016 prevê
investimentos contra ciberataques no país
Altamente criticado pela imprensa e especialistas
• Temos muitas ações-macro cobertas
✓ Promover segurança da informação a nível nacional
✓ Apresentar leis para compartilhamento de informações entre
governo e setor privado
✓ Construir meio unificado de identificação e resposta contra
ataques
✓ Incentivar a modernização dos sistemas eletrônicos de
pagamentos
8. Orçamento norte-americano para 2016 prevê
investimentos contra ciberataques no país
Altamente criticado pela imprensa e especialistas
• Mas não há nenhuma solução para os problemas urgentes
✗ Fomento à defesa de redes privadas
✗ Incentivo ao uso de tecnologias/serviços de proteção já
existentes
✗ Estabelecimento de modelo para segurança em mobile
✗ Proposta de conscientização para a população sobre riscos de
segurança da informação
10. Não se trata apenas de investir em compras
Entender e sanar fragilidades em processos também é importante
• Áreas de atuação adicional para buscar orçamento
✓ Engenharia de processos de segurança
✓ Aumento de pessoal para composição de equipe
multidisciplinada
✓ Treinamento e certificação de profissionais
11. Impor liderança
Preparo e subsídios para resposta a incidentes
• Principais insumos
✓ Business Impact Analysis (BIA)
✓ Planos de contingência de processos
• Não sucumbir a emoções
✓ Importante responder adequadamente a ameaças
✓ Recusar coações/subornos