Conforme entramos no auge da temporada orçamentária, especialmente em um momento em que se espera que os cintos apertem, líderes de segurança e TI precisam antecipar as discussões que terão com os líderes executivos. Isso significa que devem preparar proativamente um case de negócio formal para o programa de segurança, a fim de garantir o financiamento dos próximos projetos.
Mas, você pode estar se perguntando, quais são os elementos-chave que devo incluir no meu case de segurança para "vende-lo" à liderança executiva? Recentemente, escrevi um artigo para a HelpNet Security dando dicas específicas para a construção de um case de negócio em segurança, mas quero me aprofundar um pouco mais na mecânica chave de um case vencedor.
De acordo com a minha experiência como líder em cibersegurança, há três seções principais que você deve ter em mente ao elaborar um case de negócio vencedor:
- Situação atual e oportunidade estratégica
- Highlights financeiros
- Alternativa recomendável
Com esses elementos em mente, eu darei a você um resumo de como cada uma dessas seções centrais deve funcionar em seu case de segurança.
Situação atual e oportunidade estratégica
Em primeiro lugar, mapeie a situação atual e a oportunidade estratégica. Esta é a sua chance, através de um relatório, de reforçar a importância e os benefícios do seu projeto. Ele deve ser conciso, objetivo e incluir métricas atuais. Se houver clientes que exigem algo do tipo ou informações sobre os recursos de seus concorrentes, este é momento de mencioná-lo.
Descreva as principais suposições que você fez durante a construção deste case de segurança, como por exemplo, recursos que estarão disponíveis para equipe de TI ou outros times de acordo com o necessário para seu desenvolvimento, ou se a organização continuará crescendo através de fusões e aquisições. Mas tenha cuidado para não fazer uma suposição que, caso não seja verdade, arruíne completamente seu plano. Por exemplo, se você presumir que a organização continuará crescendo através de fusões e aquisições e a diretoria não tiver nenhum planejamento para isso, a menos que você só precise do novo serviço para esse fim, não diga nada, pois eles podem não aprovar o projeto.
Você também pode descrever a percepção do novo serviço em relação ao negócio. Como o projeto traz valor comercial e quais são os resultados esperados? Eles serão sua medida de sucesso depois que o projeto estiver completo. Também deve haver indicações claras das métricas que serão usadas para medir seu desempenho. E se parte do seu caso de negócio incluir a desativação de um serviço anterior, tenha cuidado para garantir o tempo necessário para o descomissionamento. Com certa frequência, esse processo costuma ser adiado ou não concluído, o que gera custos mais altos do que o esperado.
Highlights financeiros
Depois de descrever o projeto, benefícios e resultados, é hora de traçar o quadro financeiro da solução recomendada. É bom começar respondendo grandes perguntas, como por exemplo:
- Quais são os requisitos para o pessoal?
- De que equipes de suporte você precisa?
- Quais são as exigências de capital e os custos operacionais?
- Que economias você espera depois que o projeto estiver concluído?
Nesta seção, você deverá ser muito claro quanto aos benefícios e custos. Após a implementação, é aqui que a equipe de revisão se concentrará para verificar se você entregou as vantagens, se o custo estava de acordo com o prometido e se o novo serviço é totalmente funcional para todo o negócio.
Inclua uma análise financeira rigorosa, conforme apropriado, com o retorno sobre o investimento (ROI), custo total de propriedade (TOC), valor presente líquido (VPL), taxa interna de retorno (TIR), e outros cálculos que respaldem sua análise. Na maioria dos projetos de segurança, você não terá cálculos de VPL ou TIR.
Muitas vezes há benefícios e custos que não são entendidos como parte dos cálculos financeiros, como custos intangíveis e benefícios colaterais. Mas uma breve descrição desses benefícios, tais como maiores eficiências, conformidade regulatória, etc., é apropriada neste momento. É bom mencioná-los, mas não os usar como justificativa de custos.
Alternativa recomendável
Uma vez que você já expôs a situação atual, a oportunidade de melhoria e a análise financeira, é hora de sugerir uma alternativa. Nela, descreva a solução e o fornecedor que será utilizado. Se planeja ter serviços de consultoria para ajudar a colocar um produto em funcionamento ou realizar manutenção contínua, inclua isto na análise financeira. Também especifique a ameaça e os riscos para o sucesso do projeto, bem como os controles e processos de segurança que deverão ser implementados como parte dele.
Faça um briefing do processo utilizado para selecionar a solução recomendada. Como foi criada a lista de concorrentes? Como foi feita a seleção dos fornecedores finais? Você fez algum teste de comprovação de valor?
Junto com a descrição da solução selecionada, cite os principais recursos da tecnologia e possíveis razões pelas quais seu provedor oferece benefícios adicionais. Isso pode incluir, por exemplo, se ele é líder de um Quadrante Mágico do Gartner, se já conta com soluções implementadas em outras áreas do negócio, quais produtos do vendor estão em uso, se é um cliente da própria empresa, etc.
Uma vez que esses passos básicos do case de segurança estejam completos, é hora de submetê-lo à revisão. Lembre-se das dicas fornecidas no artigo e compartilhe seu case com os principais interessados no assunto e aprovadores com antecedência. Me conte se minhas dicas foram úteis e/ou se você tem alguma que gostaria de acrescentar. Boa sorte!