Junte-se a nós no SASE Summit da Netskope, chegando a uma cidade perto de você! Registre-se agora.

  • Produtos de Serviço de Segurança Edge

    Proteger-se contra ameaças avançadas e com nuvens e salvaguardar os dados em todos os vetores.

  • Borderless SD-WAN

    Confidentemente, proporcionar acesso seguro e de alto desempenho a cada usuário remoto, dispositivo, site, e nuvem.

  • Plataforma

    Visibilidade incomparável e proteção de dados e contra ameaças em tempo real na maior nuvem privada de segurança do mundo.

A plataforma do futuro é a Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG) e Private Access for ZTNA integrados nativamente em uma única solução para ajudar todas as empresas em sua jornada para o Secure Access Service Arquitetura de borda (SASE).

Vá para a plataforma
Vídeo da Netskope
Borderless SD-WAN: Desbravando na Nova Era da Empresa Sem Fronteiras

Netskope Borderless SD-WAN oferece uma arquitetura que converge princípios de confiança zero e desempenho de aplicativo garantido para fornecer conectividade segura e de alto desempenho sem precedentes para cada site, nuvem, usuário remoto e dispositivo IoT.

Read the article
Borderless SD-WAN
A Netskope oferece uma pilha de segurança na nuvem moderna, com capacidade unificada para proteção de dados e ameaças, além de acesso privado seguro.

Explore a nossa plataforma
Birds eye view metropolitan city
Mude para serviços de segurança na nuvem líderes de mercado com latência mínima e alta confiabilidade.

Conheça a NewEdge
Lighted highway through mountainside switchbacks
Permita com segurança o uso de aplicativos generativos de IA com controle de acesso a aplicativos, treinamento de usuários em tempo real e a melhor proteção de dados da categoria.

Saiba como protegemos o uso de IA generativa
Safely Enable ChatGPT and Generative AI
Soluções de zero trust para a implementação de SSE e SASE

Learn about Zero Trust
Boat driving through open sea
A Netskope permite uma jornada segura, inteligente e rápida para a adoção de serviços em nuvem, aplicações e infraestrutura de nuvem pública.

Learn about Industry Solutions
Wind turbines along cliffside
  • Nossos clientes

    Netskope atende a mais de 2.000 clientes em todo o mundo, incluindo mais de 25 dos 100 da Fortune.

  • Customer Solutions

    Estamos aqui junto com você a cada passo da sua trajetória, assegurando seu sucesso com a Netskope.

  • Treinamento e certificação

    Os treinamentos da Netskope vão ajudar você a ser um especialista em segurança na nuvem.

Ajudamos nossos clientes a estarem prontos para tudo

Ver nossos clientes
Woman smiling with glasses looking out window
A talentosa e experiente equipe de Serviços Profissionais da Netskope fornece uma abordagem prescritiva para sua implementação bem sucedida.

Learn about Professional Services
Netskope Professional Services
Proteja sua jornada de transformação digital e aproveite ao máximo seus aplicativos de nuvem, web e privados com o treinamento da Netskope.

Learn about Training and Certifications
Group of young professionals working
  • Recursos

    Saiba mais sobre como a Netskope pode ajudá-lo a proteger sua jornada para a nuvem.

  • Blog

    Saiba como a Netskope viabiliza a segurança e a transformação de redes através do security service edge (SSE).

  • Eventos e workshops

    Esteja atualizado sobre as últimas tendências de segurança e conecte-se com seus pares.

  • Security Defined

    Tudo o que você precisa saber em nossa enciclopédia de segurança cibernética.

Podcast Security Visionaries

Bônus Episódio 2: O Quadrante Mágico para SSE e como acertar o SASE
Mike e Steve discutem o Gartner® Magic Quadrant™ para Security Service Edge (SSE), o posicionamento da Netskope e como o clima econômico atual afetará a jornada do SASE.

Reproduzir o podcast
Bônus Episódio 2: O Quadrante Mágico para SSE e como acertar o SASE
Últimos blogs

Como a Netskope pode habilitar a jornada Zero Trust e SASE por meio dos recursos de borda de serviço de segurança (SSE).

Leia o Blog
Sunrise and cloudy sky
Netskope AWS Immersion Day World Tour 2023

A Netskope desenvolveu uma variedade de laboratórios práticos, workshops, webinars detalhados e demonstrações para educar e auxiliar os clientes da AWS no uso e implantação dos produtos Netskope.

Learn about AWS Immersion Day
Parceiro da AWS
O que é o Security Service Edge?

Explore o lado de segurança de SASE, o futuro da rede e proteção na nuvem.

Learn about Security Service Edge
Four-way roundabout
  • Empresa

    Ajudamos você a antecipar os desafios da nuvem, dos dados e da segurança da rede.

  • Por que Netskope

    A transformação da nuvem e o trabalho em qualquer lugar mudaram a forma como a segurança precisa funcionar.

  • Liderança

    Nossa equipe de liderança está fortemente comprometida em fazer tudo o que for preciso para tornar nossos clientes bem-sucedidos.

  • Parceiros

    Fazemos parceria com líderes de segurança para ajudá-lo a proteger sua jornada para a nuvem.

Apoiando a sustentabilidade por meio da segurança de dados

A Netskope tem o orgulho de participar da Visão 2045: uma iniciativa destinada a aumentar a conscientização sobre o papel da indústria privada na sustentabilidade.

Saiba mais
Supporting Sustainability Through Data Security
O mais alto nível de Execução. A Visão mais avançada.

A Netskope foi reconhecida como Líder no Magic Quadrant™ do Gartner® de 2023 para SSE.

Obtenha o Relatório
A Netskope foi reconhecida como Líder no Magic Quadrant™ do Gartner® de 2023 para SSE.
Pensadores, construtores, sonhadores, inovadores. Juntos, fornecemos soluções de segurança na nuvem de última geração para ajudar nossos clientes a proteger seus dados e seu pessoal.

Conheça nossa equipe
Group of hikers scaling a snowy mountain
A estratégia de comercialização da Netskope, focada em Parcerias, permite que nossos Parceiros maximizem seu crescimento e lucratividade enquanto transformam a segurança corporativa.

Learn about Netskope Partners
Group of diverse young professionals smiling

A Return to the Scene of the Crime: The Messy Role of ROI in Security Technology

04 de março de 2020

“Por que eu aprovaria esse tipo de investimento se você não consegue formular nenhum tipo de redução de custos, oportunidade de viabilização de negócios ou retorno associado à gestão mais eficiente da minha atual exposição ao risco?”

Quantas vezes, como profissionais, tivemos esse tipo de conversa? Quer se trate de uma discussão sobre o risco inerente de determinadas práticas comerciais ou dos custos de investimento associados a pessoas, processos e tecnologia destinados a gerenciar o referido risco, os profissionais são sempre desafiados a criar alguma maneira mensurável de comunicar o valor intrínseco desses investimentos. 

Nossos colegas na empresa falam com frequência sobre ROI e retorno sobre o investimento, pois estão muito condicionados à necessidade de comprovar algum tipo de valor ou retorno dos programas, investimentos, iniciativas e ações semelhantes. Ter uma abordagem para comunicar claramente o “valor” do negócio referente à segurança e ao risco é também de vital importância. Muitas vezes, pode ser negligenciado, mas as funções que executamos são negócios dentro do negócio. Em última análise, prestamos serviços aos nossos clientes que permitem que nossos negócios funcionem dentro de determinadas tolerâncias para os processos estabelecidos, além de viabilizar a transformação para eles e que assumam mais riscos enquanto criam novos modelos de negócios. 

E qual é o problema? Basicamente, estamos tendo dificuldade com o desafio de não conseguirmos nos comunicar no mesma idioma. Por exemplo, há maneiras simples e estabelecidas para o CEO determinar um “retorno sobre o investimento” para algo como, por exemplo, um novo prédio de escritórios. As medidas preditivas do valor dos investimentos imobiliários e do aumento na capacidade dos equipamentos mais eficientes ou de uma nova instalação são relativamente simples e estão enraizadas na estrutura dos negócios. 

Em nossos negócios dentro da empresa, só conseguimos gerenciar três itens associados aos nossos investimentos: a eficácia do investimento em termos de gerenciamento ou redução de riscos, o custo total de propriedade de um determinado investimento e a capacidade de aconselhar sobre a transferência desse risco de alguma forma (ou seja, seguro etc). O desafio que a maioria de nós encontrou com esses três fatores é que não temos sido muito eficientes na coleta dos dados obrigatórios e nos cálculos necessários para dar real sentido a eles. Isso é evidenciado pela quantidade de programas que adotaram abordagens bem amplas para a aplicação de controles onde existem lacunas ou problemas, gerando muitos casos cujos riscos representam US$ 500 e os controles aplicados a eles custam US$ 100.000.000. Isso cria atrito para os consumidores dos nossos serviços, gerando dessa forma o desafio de ter prazos mais longos para justificar os próximos investimentos. 

Custo total de propriedade como ponto de partida?

Uma área em que realmente podemos oferecer alguns dados empíricos sólidos é o custo total de propriedade (TCO) para os processos e tecnologias de apoio que sustentam os serviços que prestamos aos nossos clientes. A maioria de nós passou muito tempo desenvolvendo métricas sobre todas as atividades que realizamos em apoio aos nossos negócios. Esses dados de métricas combinados a outras informações disponíveis publicamente, podem ser usados para nos trazer custos de propriedade relativamente precisos para os serviços e tecnologias em que investimos. 

Veja, por exemplo, o processo de determinar os custos das pessoas associados à análise diária das investigações de incidentes. Se eu souber que, em média, minha equipe de resposta está gastando 20% do dia em atividades de investigação, que tenho dois recursos dedicados nessa equipe, e que os recursos completos custam US$ 75 por hora, posso determinar que a execução desse processo, do ponto de vista do capital humano, consome um pouco mais de 800 horas-homem por ano e custa para as nossas empresas cerca de US$ 60.000. Se, então, eu conheço o inventário de todas as ferramentas tecnológicas necessárias para executar esses processos, posso levar em consideração o custo anual da tecnologia de apoio e ter uma descrição bastante precisa do custo desse serviço. Isso, no entanto, me coloca em uma posição onde posso comunicar um ROI real? Não exatamente. 

O custo do risco?

Bruce Schneier escreveu um ótimo artigo sobre este mesmo assunto para o CSO em setembro de 2008 que continua atual. No que diz respeito à abordagem tradicional de dar ao risco um valor em dólar, ele coloca: “a metodologia clássica é chamada de expectativa de perda anualizada (ALE), e é bem simples. Calcule o custo dos incidentes de segurança sobre os itens tangíveis, como tempo e dinheiro, e sobre os intangíveis, como reputação e vantagem competitiva. Multiplique isso pela chance de o incidente ocorrer em um ano. Dessa forma, chega-se ao valor que deve ser gasto para mitigar o risco.” 

Essa abordagem de "probabilidade e impacto" tem sido o método que todos tentamos implementar, de certa maneira, elaborar ou formar, para ter algum tipo de um indicador financeiro do custo dos riscos que identificamos e estamos tentando gerenciar. O problema, como Bruce também destaca, é que os dados resultantes desses cálculos basicamente atuam contra nós quando conversamos com os líderes das empresas, e são ofuscados pela falta de dados confiáveis que temos como base. 

Por exemplo, se o custo calculado de um determinado risco for de US$ 40.000 por ano e o custo total de propriedade das pessoas, processos e tecnologia alocados para melhor gerenciar ou reduzir esse risco for de US$ 65.000 por ano, imagine o que o CFO vai querer saber. Qual é o nível de precisão dos nossos dados sobre os fatores que entram na medição do impacto (perda real, reputação etc.) e qual é o nível de precisão dos nossos dados para determinação da probabilidade real? E, mesmo que todos concordemos com esses números, a forma como o CFO interpreta e opta por permitir o seu investimento pode obviamente sofrer influência desses e de muitos outros fatores. Pelas conversas com muitas pessoas do setor, e também pela minha própria experiência como profissional, muitas vezes é o desafio de facilitar o entendimento. Sem conhecer os verdadeiros níveis de tolerância ao risco em termos financeiros da organização, pode-se realmente enfrentar uma batalha difícil. Imagine solicitar um investimento para reduzir um risco, que você calculou ser de US$ 10 milhões devido a um processo comercial sobre o qual não há controles, mas o CFO considerar US$ 10 milhões um erro de arredondamento? Você acha que vai conseguir o investimento que precisa? 

Critérios para alcançar resultados melhores

  • Empreenda um esforço conjunto para inventariar e organizar todos os serviços que o seu negócio dentro de um negócio oferece aos clientes. Dedique algum tempo ao cálculo do custo total de propriedade de todos esses serviços, de forma a comunicar com transparência os custos de mão-de-obra e tecnologia para o negócio. Dessa forma, você conseguirá comunicar-se com os líderes da empresa nos termos que eles melhor entendem e conseguirá também priorizar as próximas avaliações de diversas tecnologias, com o objetivo de prestar o mesmo serviço a um custo menor ou prestar esse serviço com mais eficiência, da perspectiva de redução ou gestão dos riscos. A capacidade de projetar esses cálculos de TCO em um planejamento de 3 a 5 anos no contexto do "custo do risco" e do "custo do controle" pode ser um divisor de águas para os investimentos futuros nos programas. 
  • Reúna os dados. Trabalhe reunindo os dados associados aos problemas, riscos, custos ou deficiências no controle que você está tentando solucionar. Desafie suas afirmações e os dados que você está coletando. Temos realmente pontos de dados reais e precisos que viabilizam qualquer cálculo relevante do custo do risco? Temos fontes de dados melhores para entender se a nossa avaliação sobre a probabilidade é precisa? Promova essas conversas com seus parceiros comerciais e colha informações para avançar em direção a um resultado mais holístico e baseado nos negócios. (Poderíamos passar o dia todo falando somente sobre este tópico!) 
  • Empregue um tempo para entender a visão organizacional sobre a tolerância ao risco e onde estão esses limites financeiros, para entender esses limites e a forma como são gerenciados. Será, provavelmente, muito revelador ter essa informação e, assim, você conseguirá definir melhor os itens que consegue calcular com precisão ou sobre os quais precisa ter melhores dados. Dessa forma, você não entrará no escritório do CFO com a mensagem errada ou com a análise incorreta, viabilizando uma tomada de decisão mais informada quando analisar a prioridade. Há mais valor em reduzir o custo de um controle financeiramente dispendioso, onde o risco é baixo, do que simplesmente adicionar um novo controle? E faz sentido somente financiar o novo controle com as economias geradas por outro?
  • Evite análises fantasiosas dos dados calculados pelo fornecedor sobre o ROI. Eles estão ainda menos preparados do que você quando se trata de entender o contexto de sua organização, a probabilidade de ocorrência de um determinado evento ou seus custos operacionais. Um verdadeiro “parceiro” deve estar disposto a empregar um tempo para entender o seu TCO, entender os serviços que você oferece hoje e conseguir ajudá-lo a explicar o seguinte:
    • Como o investimento tecnológico proposto pode reduzir o custo operacional de um processo ou serviço que ofereço atualmente? (ou seja, semelhantes, mas mais baratos/que exigem menos mão de obra etc.)
    • Como o investimento tecnológico proposto pode aumentar a eficácia de um processo ou serviço que ofereço atualmente, no que diz respeito ao risco? (ou seja, aumenta a eficácia de um controle global específico ou traz oportunidade de controle/redução do risco que não era possível antes etc.)
    • Como o investimento tecnológico proposto pode proporcionar preparo e/ou oportunidades de redução de riscos no futuro, preparando a sua arquitetura ou ambiente de controle para o futuro? Investir nos recursos de componentes essenciais alinhados com o direcionamento projetado da sua empresa, em vez de esperar que a empresa identifique “atrito” ou um caso de uso que seus serviços atuais não atendem. 
    • Como o investimento tecnológico proposto pode extrair maior ou melhor valor dos meus investimentos atuais? Sempre ouvimos dizer que o valor do indivíduo ideal em uma equipe é aquele que transforma todos ao seu redor em pessoas melhores. Deve-se considerar o mesmo para os investimentos em tecnologia. Como esse investimento pode aprimorar todos os meus outros investimentos? (ou seja, Pode me ajudar a cobrir mais casos de uso? Pode reduzir a minha carga operacional? Elimina a necessidade de criar uma integração manual entre as tecnologias? etc.)

O ROI está realmente morto? Na verdade, não. O que realmente estamos buscando são melhores resultados dos serviços que oferecemos aos nossos clientes, nossos parceiros comerciais. Entender os custos operacionais detalhados de todos os nossos investimentos em tecnologia, combinado com a capacidade de medir a eficácia desses processos e tecnologias, para nos ajudar a gerenciar os riscos, nos posiciona melhor para falar o idioma dos negócios. 

Os verdadeiros elementos do ROI aqui são: estabelecer um entendimento mais claro sobre o risco nos nossos negócios (e influenciá-lo), conseguir apresentar transparência nos custos e a eficácia dos serviços que prestamos aos nossos clientes, desafiando nossas antigas afirmações referentes à probabilidade versus impacto em nossos ambiente com melhores dados, e forçando-nos a utilizar tudo isso para reduzir o custo operacional e o atrito dos controles, não somente hoje, mas durante nossos investimentos na transformação dos nossos programas de segurança. 

Como Wayne Gretzky disse uma vez, “um bom jogador de hóquei joga onde o disco se encontra, um grande jogador de hóquei joga onde o disco vai estar”. Da mesma forma, uma boa equipe de segurança gerencia o posicionamento atual da empresa, enquanto uma ótima equipe gerencia o posicionamento da empresa também no futuro.

author image
Nathan Smolenski
Nathan é um CISO experiente e líder em tecnologia e gerenciamento de riscos com mais de 19 anos de experiência em serviços financeiros, consultoria de gestão, seguros e verticais do setor de software. Atua no momento como diretor, chefe de estratégia de segurança empresarial, membro da equipe de estratégia global da Netskope, concentrado na transformação digital e nos impactos nos programas e estratégias de segurança cibernética.