Dessa vez, resolvi tocar em uma ferida no meio corporativo. Sim, “aquela empresa de segurança que só leva problema e vive pedindo dinheiro pra tudo”! Trazendo minha experiência em empresas bancárias, varejistas e, principalmente, em empresas de consultoria de segurança da informação, comecei a perceber que esse tema não era mais uma despesa opcional, mas sim um investimento crucial para a sustentabilidade e o sucesso de qualquer empresa em que passei.
A mentalidade de encarar a segurança como um “custo” deveria estar ultrapassada e é fundamental reconhecer o valor estratégico na proteção de ativos, na construção de confiança e na garantia da conformidade legal. Afinal de contas, temos auditorias que tendem a nos manter na linha. Infelizmente, em geral, a cibersegurança ainda é divorciada do negócio, sem entender como pode e deve gerar valor, tornando-se um verdadeiro “poço de gastos”.
Antes de escrever aqui, procurei alguns artigos, alguns textos, respostas intermináveis para esse problema. O que pude perceber foi que a falta de investimento em segurança pode resultar em custos financeiros severos, incluindo multas (LGPD), interrupção de serviços (deixar de vender!), pagamento de resgates em ataques ransomware e despesas de recuperação do tão sonhado ambiente estável.
Além disso, incidentes de segurança podem causar danos irreparáveis à reputação da empresa, e esse assunto é engraçado, e digo o motivo. Ouvi isso em alguns momentos de reunião com empresários: “Jessé, só queremos sobreviver enquanto empresa” ou “Jessé, mal tenho condições de pagar as contas” ou “se eu perder os dados dos meus clientes da clínica e todos os exames forem criptografados, quanto terei que pagar em multas?”. Afinal? Quem estaria preocupado com reputação ou confiança quando o maior pesadelo para as empresas brasileiras gira em torno de dinheiro? Você está mais preocupado se seu produto e seu serviço são bons e confiáveis ou se terá mais despesas com ele? Entregar o trivial sem se importar se essa questão está levando à perda de clientes e à dificuldade em atrair novos negócios?
Faço essas provocações especialmente no Brasil, onde a maioria das tecnologias são pautadas no dólar, os custos de implementação podem ser proibitivos, mesmo que soluções nacionais também apresentem preços elevados devido à sua eficácia. Resta apenas usar serviços e softwares mais baratos, afinal de contas, eles funcionam.
Informações relevantes extraídas de um dos relatórios que pesquisei sobre custos de violação de dados, elaborado por uma grande empresa internacional, revelam que o valor médio de um incidente de segurança atingiu um patamar inédito. Essa constatação enfatiza a necessidade urgente de aprimorar a detecção de ameaças e investir em tecnologias como automação e inteligência artificial. Adicionalmente, a Resolução nº 15 da ANPD reforça a importância da comunicação rápida e transparente de incidentes de segurança, exigindo que as empresas adotem planos de resposta a incidentes bem definidos.
Mas, como equilibrar o investimento em segurança com as necessidades e a realidade de cada negócio? Imagine uma empresa atacadista com um site, lojas e quiosques. O site, com suas vendas modestas, e os quiosques, com um desempenho um pouco melhor, contrastam com o sucesso estrondoso das lojas físicas. O site e os quiosques contam com aplicações modernas, seguras e com protocolos de autenticação de ponta, resultado de um investimento considerável e da aplicação do conceito de Shift Left.
Por outro lado, o que garante mesmo o sucesso das vendas das lojas é uma aplicação antiga, arcaica, rodando em servidores defasados, repleta de vulnerabilidades e brechas de segurança. Um verdadeiro caos sob a perspectiva da segurança. O time de segurança, focado em proteger a todo custo, propõe uma modernização completa, com migração para a nuvem, conteinerização, Kubernetes e protocolos modernos. O custo? Alguns milhões de reais. A pergunta que fica é: Vale a pena?
A resposta não é simples e exige uma análise cuidadosa do risco versus o retorno. A segurança se paga com moedas de performance e usabilidade. Investir em segurança sem considerar o impacto na experiência do usuário e na eficiência dos processos pode ser tão prejudicial quanto negligenciá-la por completo.
Nesse cenário, quem vencerá essa guerra? A visão tecnicista da segurança, focada em eliminar todas as vulnerabilidades a qualquer custo, ou a visão estratégica, que busca equilibrar segurança, performance e usabilidade para garantir o sucesso do negócio? A resposta está na capacidade de integrar a segurança à estratégia da empresa, compreendendo suas necessidades, seus riscos e suas oportunidades.
Em vez de ser vista como um fardo, a segurança da informação deve ser integrada desde o início nos projetos e processos de negócio (“security by design“). Ao adotar uma abordagem proativa e estratégica, as empresas podem transformar a segurança em um diferencial competitivo, atraindo clientes e parceiros que valorizam a proteção de dados. E é aqui que respondemos ao dilema inicial: a segurança da informação deixa de ser um custo e se torna um investimento estratégico, um pilar fundamental para a resiliência, lucratividade, uma melhor experiência para nossos clientes, a inovação e o crescimento sustentável de uma empresa. Afinal, proteger o presente é a melhor forma de garantir um futuro próspero para o seu negócio.
