O documento discute desafios na justificativa de orçamento para Segurança da Informação, como superar o ceticismo de executivos e orçar atividades de maneira que resultados possam ser medidos. Também aborda críticas ao orçamento dos EUA para 2016, que prevê investimentos contra ciberataques, mas não soluciona problemas urgentes como incentivo à defesa de redes privadas.

1. Como financiar um CSO
Gestão da Informação e da Inteligência Empresarial

2. Dificuldades na justificativa de orçamento
Identificando orçamento aplicado incorretamente
• É comum que orçamento para Segurança da Informação seja
administrado ou dividido entre outras áreas (especialmente TI)
• Não é considerada a integração com a segurança física de
instalações corporativas
• Não são estabelecidos planos cuja efetividade possa ser medida
corretamente

3. Financiando CSOs com efetividade
Desafios enfrentados
• Superar o ceticismo de executivos
–Muitos CEOs e CFOs
“Nada de ruim está acontecendo.”

4. Financiando CSOs com efetividade
Desafios enfrentados
• Orçar atividades de maneira que resultados possam ser obtidos e
medidos
✓ Cada resultando conta, mesmo que não ocorram incidentes
na organização
✓ No planejamento, mostrar a efetividade sobre os
investimentos a serem feitos reforça o sucesso de projetos de
segurança da informação

5. Estudo de Caso

6. Orçamento norte-americano para 2016 prevê
investimentos contra ciberataques no país
Proposta é alocar US$14 bilhões para ações federais
defendendo o tema

7. Orçamento norte-americano para 2016 prevê
investimentos contra ciberataques no país
Altamente criticado pela imprensa e especialistas
• Temos muitas ações-macro cobertas
✓ Promover segurança da informação a nível nacional
✓ Apresentar leis para compartilhamento de informações entre
governo e setor privado
✓ Construir meio unificado de identificação e resposta contra
ataques
✓ Incentivar a modernização dos sistemas eletrônicos de
pagamentos

8. Orçamento norte-americano para 2016 prevê
investimentos contra ciberataques no país
Altamente criticado pela imprensa e especialistas
• Mas não há nenhuma solução para os problemas urgentes
✗ Fomento à defesa de redes privadas
✗ Incentivo ao uso de tecnologias/serviços de proteção já
existentes
✗ Estabelecimento de modelo para segurança em mobile
✗ Proposta de conscientização para a população sobre riscos de
segurança da informação

9. Ações adicionais

10. Não se trata apenas de investir em compras
Entender e sanar fragilidades em processos também é importante
• Áreas de atuação adicional para buscar orçamento
✓ Engenharia de processos de segurança
✓ Aumento de pessoal para composição de equipe
multidisciplinada
✓ Treinamento e certificação de profissionais

11. Impor liderança
Preparo e subsídios para resposta a incidentes
• Principais insumos
✓ Business Impact Analysis (BIA)
✓ Planos de contingência de processos
• Não sucumbir a emoções
✓ Importante responder adequadamente a ameaças
✓ Recusar coações/subornos

12. Referências
• Obama’s budget can’t fix corporate cybersecurity
http://www.usnews.com/news/articles/2015/02/03/obamas-
budget-cant-fix-corporate-cybersecurity