Mecanismos essenciais para construir um bom case de negócio em segurança 

Conforme entramos no auge da temporada orçamentária, especialmente em um momento em que se espera que os cintos apertem, líderes de segurança e TI precisam antecipar as discussões que terão com os líderes executivos. Isso significa que devem preparar proativamente um case de negócio formal para o programa de segurança, a fim de garantir o financiamento dos próximos projetos.

Mas, você pode estar se perguntando, quais são os elementos-chave que devo incluir no meu case de segurança para "vende-lo" à liderança executiva? Recentemente, escrevi um artigo para a HelpNet Security dando dicas específicas para a construção de um case de negócio em segurança, mas quero me aprofundar um pouco mais na mecânica chave de um case vencedor.

De acordo com a minha experiência como líder em cibersegurança, há três seções principais que você deve ter em mente ao elaborar um case de negócio vencedor: 

• Situação atual e oportunidade estratégica 
• Highlights financeiros 
• Alternativa recomendável

Com esses elementos em mente, eu darei a você um resumo de como cada uma dessas seções centrais deve funcionar em seu case de segurança.

Situação atual e oportunidade estratégica

Em primeiro lugar, mapeie a situação atual e a oportunidade estratégica. Esta é a sua chance, através de um relatório, de reforçar a importância e os benefícios do seu projeto. Ele deve ser conciso, objetivo e incluir métricas atuais. Se houver clientes que exigem algo do tipo ou informações sobre os recursos de seus concorrentes, este é momento de mencioná-lo.   

Descreva as principais suposições que você fez durante a construção deste case de segurança, como por exemplo, recursos que estarão disponíveis para equipe de TI ou outros times de acordo com o necessário para seu desenvolvimento, ou se a organização continuará crescendo através de fusões e aquisições. Mas tenha cuidado para não fazer uma suposição que, caso não seja verdade, arruíne completamente seu plano. Por exemplo, se você presumir que a organização continuará crescendo através de fusões e aquisições e a diretoria não tiver nenhum planejamento para isso, a menos que você só precise do novo serviço para esse fim, não diga nada, pois eles podem não aprovar o projeto.  

Você também pode descrever a percepção do novo serviço em relação ao negócio. Como o projeto traz valor comercial e quais são os resultados esperados? Eles serão sua medida de sucesso depois que o projeto estiver completo. Também deve haver indicações claras das métricas que serão usadas para medir seu desempenho. E se parte do seu caso de negócio incluir a desativação de um serviço anterior, tenha cuidado para garantir o tempo necessário para o descomissionamento. Com certa frequência, esse processo costuma ser adiado ou não concluído, o que gera custos mais altos do que o esperado. 

Highlights financeiros

Depois de descrever o projeto, benefícios e resultados, é hora de traçar o quadro financeiro da solução recomendada. É bom começar respondendo grandes perguntas, como por exemplo: 

• Quais são os requisitos para o pessoal? 
• De que equipes de suporte você precisa? 
• Quais são as exigências de capital e os custos operacionais? 
• Que economias você espera depois que o projeto estiver concluído?   

Nesta seção, você deverá ser muito claro quanto aos benefícios e custos. Após a implementação, é aqui que a equipe de revisão se concentrará para verificar se você entregou as vantagens, se o custo estava de acordo com o prometido e se o novo serviço é totalmente funcional para todo o negócio.  

Inclua uma análise financeira rigorosa, conforme apropriado, com o retorno sobre o investimento (ROI), custo total de propriedade (TOC), valor presente líquido (VPL), taxa interna de retorno (TIR), e outros cálculos que respaldem sua análise. Na maioria dos projetos de segurança, você não terá cálculos de VPL ou TIR.  

Muitas vezes há benefícios e custos que não são entendidos como parte dos cálculos financeiros, como custos intangíveis e benefícios colaterais. Mas uma breve descrição desses benefícios, tais como maiores eficiências, conformidade regulatória, etc., é apropriada neste momento. É bom mencioná-los, mas não os usar como justificativa de custos. 

Alternativa recomendável 

Uma vez que você já expôs a situação atual, a oportunidade de melhoria e a análise financeira, é hora de sugerir uma alternativa. Nela, descreva a solução e o fornecedor que será utilizado. Se planeja ter serviços de consultoria para ajudar a colocar um produto em funcionamento ou realizar manutenção contínua, inclua isto na análise financeira. Também especifique a ameaça e os riscos para o sucesso do projeto, bem como os controles e processos de segurança que deverão ser implementados como parte dele.     

Faça um briefing do processo utilizado para selecionar a solução recomendada. Como foi criada a lista de concorrentes? Como foi feita a seleção dos fornecedores finais? Você fez algum teste de comprovação de valor?  

Junto com a descrição da solução selecionada, cite os principais recursos da tecnologia e possíveis razões pelas quais seu provedor oferece benefícios adicionais. Isso pode incluir, por exemplo, se ele é líder de um Quadrante Mágico do Gartner, se já conta com soluções implementadas em outras áreas do negócio, quais produtos do vendor estão em uso, se é um cliente da própria empresa, etc.  

Uma vez que esses passos básicos do case de segurança estejam completos, é hora de submetê-lo à revisão. Lembre-se das dicas fornecidas no artigo e compartilhe seu case com os principais interessados no assunto e aprovadores com antecedência. Me conte se minhas dicas foram úteis e/ou se você tem alguma que gostaria de acrescentar. Boa sorte!