‘Opinativo’? Você deve contribuir para a nova pilha
8 de maio de 2024Um guia para segurança de software de código aberto
9 de maio de 2024Na visão de uma empresa típica, pagar o custo das ferramentas de segurança é um mal necessário. Mesmo em organizações onde os líderes empresariais reconhecem a importância de investir em segurança como forma de prevenir violações dispendiosas, as ferramentas e operações de segurança tendem a ser vistas como um centro de custos.
Mas isso não significa que as ferramentas de segurança tenham que sobrecarregar seu orçamento. Ao ser estratégico sobre como você seleciona as ferramentas e tomar medidas para evitar ineficiências de custos em seu conjunto de ferramentas de segurança, você pode permitir operações de segurança eficazes sem custos excessivos.
Esse é o tópico que gostaria de abordar neste artigo. Com base na minha experiência em ajudar a gerenciar a segurança de uma empresa especializada em otimização de custos de nuvem (onde a relação custo-benefício é sempre uma prioridade), ofereço sugestões abaixo para controlar os gastos com ferramentas de segurança sem comprometer recursos e capacidades.
A importância de gerenciar os custos das ferramentas de segurança
O valor total que uma empresa gasta em ferramentas de segurança pode variar amplamente, dependendo de fatores como os tipos de ferramentas que ela implanta, o número de usuários ou sistemas que as ferramentas suportam e os planos de preços dos fornecedores de ferramentas. Mas, no geral, é justo dizer que os gastos com ferramentas são um componente significativo da maioria dos orçamentos empresariais.
A Moody’s descobriu, por exemplo, que as empresas dedicam cerca de 8% do seu orçamento total à segurança. Esse número inclui custos de pessoal, bem como custos de ferramentas, mas fornece uma noção de quão elevados os gastos com segurança tendem a ser em relação às despesas gerais do negócio.
É provável que estes custos só aumentem. A IDC acredita que os orçamentos totais de segurança aumentarão em mais de um terço nos próximos anos, em parte devido ao aumento dos custos das ferramentas. Isto significa que encontrar formas de controlar os gastos com ferramentas de segurança é importante não apenas para reduzir os custos globais atuais, mas também para evitar custos excessivos no futuro.
É claro que a redução de gastos não pode significar simplesmente o abandono de ferramentas críticas ou a desativação de recursos importantes. Com o custo médio de uma violação de dados ascendendo agora a mais de 4 milhões de dólares, é fundamental investir em ferramentas que possam detetar e mitigar riscos. Mas as empresas devem se esforçar para fazer isso sem desperdiçar dinheiro devido a gastos ineficientes com ferramentas de segurança.
Para fornecer orientação sobre como quadrar esse círculo, aqui estão as práticas que descobri serem bem-sucedidas na redução de gastos com ferramentas de segurança sem sacrificar os principais recursos. (Para obter mais informações, consulte estas práticas recomendadas para gerenciar custos de ferramentas de segurança.)
1. Colabore com usuários de ferramentas de segurança
Se você é um líder de segurança encarregado de selecionar ferramentas, colaborar com as pessoas que realmente usarão as ferramentas — como desenvolvedores de software que precisam de soluções de verificação e teste de aplicativos — é fundamental por alguns motivos.
Uma delas é que é importante adquirir ferramentas que maximizem a produtividade e a experiência dos funcionários. Você não quer impingir aos seus desenvolvedores soluções que eles não desejam usar, porque isso reduzirá o valor que essas ferramentas agregam.
Em segundo lugar, e mais importante, a comunicação é fundamental para garantir que as suas equipas ainda não tenham implementado as suas próprias ferramentas de segurança sem permissão oficial. Se sim, você não apenas tem uma TI oculta escondida em seu ambiente de TI, mas sua empresa também está pagando por ferramentas que você nem sabia que havia comprado.
2. Colabore com arquitetos de sistemas
Na mesma linha, a colaboração com arquitetos de sistemas – ou seja, engenheiros responsáveis pelo planejamento de arquiteturas, sistemas e integrações de TI – ajuda a controlar os custos das ferramentas. Trabalhando com essas partes interessadas, você poderá encontrar formas de maximizar a cobertura que as ferramentas oferecem, levando, em muitos casos, a soluções mais econômicas.
Por exemplo, se você puder projetar uma arquitetura de nuvem que permita usar a mesma ferramenta de segurança em várias nuvens, seus custos gerais provavelmente serão menores do que seriam se você tivesse que comprar ferramentas separadas para cada nuvem, graças ao volume descontos oferecidos por fornecedores de ferramentas. O custo administrativo associado à implantação e ao gerenciamento da solução também será menor, já que você terá apenas uma ferramenta para trabalhar.
3. Faça um inventário de suas ferramentas de segurança
Criar um inventário das ferramentas de segurança em uso na sua empresa é importante para identificar instâncias de shadow IT que podem surgir quando as equipes implantam ferramentas de segurança sem permissão.
Além disso, um inventário pode ajudar a identificar o uso duplicado de ferramentas. Você pode descobrir, por exemplo, que diferentes departamentos implantaram diferentes ferramentas do mesmo tipo e que consolidá-las em uma única solução economizará dinheiro.
4. Considere o uso estratégico de IA
Como você sabe, a menos que tenha vivido em um bunker nos últimos dois anos, a IA generativa abriu uma série de oportunidades no domínio da segurança e muito além. Tirar proveito das ferramentas de segurança de IA — como aquelas que podem resumir automaticamente alertas de segurança ou fornecer orientações de correção para corrigir códigos inseguros — pode ajudar a reduzir o tempo (e, por extensão, o dinheiro) que sua empresa gasta em operações de segurança. Isso é um pouco diferente de reduzir o custo das próprias ferramentas, mas ainda assim economiza dinheiro.
Para ser claro, não estou sugerindo que a IA por si só possa resolver todos os problemas de segurança ou reduzir enormemente seus custos. A IA comete erros e o seu valor é limitado, especialmente em contextos como a segurança, onde a tolerância a erros é muito pequena. Ainda assim, o uso estratégico de ferramentas de segurança habilitadas para IA pode reduzir significativamente os custos de segurança.
5. Faça as contas sobre construção vs. Comprando
Às vezes, você pode acreditar que desenvolver suas próprias ferramentas de segurança é mais barato do que comprar uma solução de terceiros — e é, em alguns casos.
No entanto, se construir é realmente mais rentável do que comprar não depende apenas das despesas de desenvolvimento de ferramentas versus o custo de licenciamento de uma ferramenta de terceiros. Também depende crucialmente do custo de gerenciamento e suporte das ferramentas que você mesmo constrói – e há muitos custos ocultos que podem tornar a construção muito mais cara do que parece.
Por exemplo, se você desenvolver uma solução internamente e precisar certificar, por motivos de conformidade, que ela está alinhada com uma determinada estrutura de segurança, a obtenção da certificação poderá exigir centenas de horas de trabalho dos engenheiros. Você também pode ter que pagar por auditorias contínuas. Este é um custo fácil de ignorar, mas que pode ser bastante significativo.
O ponto principal aqui é que é importante realizar uma avaliação completa dos seus custos totais ao considerar construir uma ferramenta de segurança em vez de comprar uma. Construir pode ser mais econômico, mas certamente nem sempre é esse o caso.
Conclusão: Maximizando a Segurança e Minimizando os Custos
Em vez de presumir que quanto mais você gasta em ferramentas de segurança, mais segura será sua empresa, reserve um tempo para voltar atrás e determinar quais ferramentas você está usando e quanto custam. Você pode descobrir que está pagando por ferramentas ou recursos desnecessários ou que pode obter as mesmas ferramentas a um custo total mais baixo por meio de medidas como consolidação e integração de ferramentas. O resultado final é a mesma postura de segurança, mas com um custo menor para o negócio.
O post Dicas para controlar os custos das ferramentas de segurança apareceu pela primeira vez no The New Stack.