Skip to main content
Marsh logo

Artigo

Como calcular o ROI em cibersegurança?

Descubra como você pode calcular o retorno de inversão em segurança para sua organização.

Cyber security ROI
Person's name and title

Autora: Ángela Cubillos

Cyber Risk Senior Consultant en Marsh Latinoamérica

02/05/2023

O risco cibernético está presente na maioria das organizações e muitos continuam aumentando seus investimentos em soluções tecnológicas, financiamento de riscos, talentos qualificados e também na sua abordagem ao risco cibernético para criar resiliência.

No entanto, os desafios da transformação digital, o impacto de quase três anos de trabalho remoto e o crescimento dos ataques cibernéticos, impactaram diretamente a demonstração de resultados.

No estudo mais recente realizado pela Marsh e pela Microsoft sobre o Estado de Resiliência Cibernética, vimos que somente 26% das organizações utilizam um método quantitativo para medir sua exposição ao risco cibernético. No nível regional, as organizações da América Latina e do Caribe são as mais propensas a utilizar métodos de avaliação qualitativos.

Medição da exposição ao risco cibernético

Muitas organizações não têm conhecimento ou capacidade para medir o risco cibernético em termos financeiros, o que impede a comunicação eficiente de ameaças cibernéticas aos membros da organização.

Diante dessa realidade, é muito importante colocar os riscos cibernéticos em termos financeiros para que toda a empresa entenda sua abordagem, possa gerenciá-la de forma mais adequada e não seja afetada pela volatilidade financeira, mais do que o necessário.

Análise de risco e metodologias de avaliação

Para entender a exposição ao risco, é necessário primeiro identificar os riscos que as organizações enfrentam e em seguida, quantificar o impacto econômico que tais riscos teriam.

Nesta fase é importante definir processos de gestão de risco que contemplem análises quantitativas com resultados objetivos, significativos e relevantes para uma tomada de decisão adequada. Isso permitirá que as organizações realizem um bom gerenciamento de riscos.

As metodologias de análise qualitativa e os mapas de calor resultantes da análise de risco não são suficientes para responder às perguntas das partes interessadas sobre o ROI em segurança cibernética ou quanto dinheiro eles podem perder em um cenário de risco específico.

As análises quantitativas de risco, no entanto, trazem os seguintes benefícios para as organizações:

Benefícios das análises quantitativas

  • Identificar os riscos que a organização está exposta e focar nas situações que mais interessam.
  • Identifique o retorno do investimento em segurança e veja onde esses recursos são investidos, o que é muito importante para as organizações, visto que são limitados.
  • Ele permite que as partes interessadas falem em um idioma que seja compreensível para elas e possam tomar melhores decisões de sua perspectiva.

Retorno sobre o investimento em segurança (ROSI)

A quantificação dos riscos permitirá às organizações saberem qual é o valor obtido com os investimentos feitos em segurança, na hora de mitigar ou transferir os riscos. Além disso, será um insumo fundamental durante os processos decisórios para sua efetiva gestão.

Por meio da análise quantitativa de riscos, é possível identificar situações em que um investimento em segurança reduzirá o risco ou, ao contrário, identificar onde os custos podem ser reduzidos, sem afetar o nível de risco.

Para realizá-lo, é necessário durante a análise de risco:

  • Identificar como o investimento proposto afetaria cada cenário de risco.
  • Medir o estado atual do risco com os controles atuais.

Com o apoio de pessoal especializado dentro da organização, deve-se fazer uma análise quantitativa do impacto financeiro futuro de cada um dos riscos avaliados, em seu estado atual e com o investimento proposto. Dessa forma, eles irão comparar os resultados e identificar como o investimento impacta as perdas estimadas.

É importante que, para esses processos de análise e quantificação de riscos, as empresas tenham capacidade, recursos e conhecimento para realizar exercícios que tragam resultados valiosos para a organização.

Finalmente, é necessário definir e implementar metodologias quantitativas de risco e treinar continuamente o pessoal que fará parte de sua execução. Dessa forma, eles poderão expressar seu conhecimento em termos quantitativos e estimar adequadamente o impacto financeiro das perdas.

É importante também, complementar as análises efetuadas com ferramentas analíticas, que permitam estimar perdas financeiras, contrastando assim os resultados produzidos pelas metodologias definidas.

Gerenciamos o risco cibernético

Na Marsh, ajudamos você a lidar com o risco cibernético e a tomar as medidas certas para sua organização. Nossa equipe pode ajudá-lo a definir metodologias quantitativas de gerenciamento de riscos cibernéticos, avaliação de cenários, abordagens baseadas em cenários e uso de ferramentas analíticas avançadas.

Não hesite em contatar um dos nossos consultores especializados em riscos cibernéticos.

Autora

Placeholder Image

Ángela Cubillos

Cyber Risk Senior Consultant en Marsh Latinoamérica

Quer saber como a Marsh pode ajudar seu negócio em relação a Riscos Cibernéticos?

Solicitar contato!

Artigos Relacionados

Hacker hacking the server in the dark web, Deep Web Top dark net

Article

Descriptografando o ransomware Gazpromlock: um guia para proteger sua organização

15/03/2024
Cyber risk management study in the Latin American financial sector

Gestão de Riscos Cibernéticos em Instituições Financeiras

09/10/2023
Hacker working with computer in dark room with digital interface around. Internet crime concept. Image with glitch effect.

Article

Caso IFX Networks: como se preparar para um ataque de ransomware?

29/09/2023
Intelligent robot machine pointing finger on dark background 3D rendering

Article

A evolução do seguro cibernético na América Latina

27/09/2023
Ver mais!