Em cada ciclo de orçamento repete-se a mesma cena nas organizações com que trabalhamos. O responsável de segurança prepara o pedido para o programa de sensibilização, apresenta-o com taxas de clique e cursos concluídos, e o diretor financeiro ouve com cortesia antes de aprovar o mínimo. O CFO compreende o risco. O que nunca lhe chega é um valor na língua que fala todos os dias para alocar capital.
Dirijo a equipa de engenharia da SMARTFENSE e cabe-me pensar como os dados do programa chegam a quem decide. Desse lugar, vejo que o problema raramente é o montante pedido. É a língua. O responsável de segurança fala de comportamento e o CFO raciocina em perdas esperadas, retorno e custo evitado. Enquanto o pedido não for traduzido para essa moeda, compete em desvantagem face a cada projeto que chegou expresso em euros.
Aqui está como funciona essa tradução, que condições o dado tem de cumprir para o CFO o levar a sério, e porque o medo é o pior argumento possível para sustentar uma rubrica de orçamento.
Porque é que o CFO não aprova um orçamento de sensibilização apresentado com taxas de clique?
Porque uma taxa de clique não é um valor financeiro. O CFO ordena cada pedido da organização comparando o capital que consome com o valor que devolve, e para isso precisa de números na mesma unidade. Uma percentagem de comportamento obriga-o a fazer ele próprio a conversão para dinheiro, e raramente tem o contexto para a fazer bem.
Quando o pedido de sensibilização chega como “reduzimos a taxa de clique para metade”, o CFO não sabe quanto vale essa mudança. Não por não a compreender, mas porque ninguém lhe disse quanto risco monetário representa cada ponto. O pedido da unidade de negócio ao lado, em contrapartida, já vem com o seu retorno calculado. A decisão inclina-se sozinha para quem fez o trabalho de tradução.
O responsável de segurança costuma ler esse desfecho como falta de compromisso da administração com a cibersegurança. A minha leitura, do lado dos dados, é mais simples. A administração aloca aquilo que pode comparar, e um programa descrito em métricas de atividade é precisamente o que não se pode comparar com o resto do orçamento.
É aí que aparece o primeiro erro de enquadramento. Enquanto o pedido viajar com o rótulo de sensibilização, a administração arquiva-o como uma despesa de atividade que se repete todos os anos. A gestão do risco humano (Human Risk Management) coloca as coisas de outra forma. Trata o comportamento das pessoas como um risco mensurável, que se gere e se reduz com um número que o CFO pode acompanhar trimestre após trimestre. Mudar o rótulo faz trabalho real, porque move a conversa do terreno da atividade para o do risco, onde o CFO aloca capital.
O que significa quantificar o risco humano em linguagem financeira?
Quantificar o risco humano em linguagem financeira é exprimir a exposição da organização aos erros das suas pessoas como uma perda monetária esperada. É a probabilidade de ocorrer um incidente originado numa pessoa, multiplicada pelo custo estimado desse incidente, e a forma como esse número se move quando se investe no programa.
Não é um exercício de precisão contabilística. Ninguém espera que o responsável de segurança acerte no custo exato de uma violação que ainda não aconteceu. O que o CFO precisa é de direção e ordem de grandeza: se estamos a falar de uma exposição de dezenas de milhares ou de vários milhões, e se o investimento proposto move esse número de forma material ou marginal.
A diferença face ao relatório habitual é de enquadramento. O relatório operacional descreve o que aconteceu na última campanha. O valor financeiro descreve o que está em jogo daqui para a frente e o que muda consoante a decisão tomada nessa reunião. Um olha para o espelho retrovisor, o outro através do para-brisas, e o CFO conduz a olhar em frente.
Como se traduz o risco humano num valor que o CFO entende?
A tradução tem cinco passos, e nenhum exige inventar dados. Exige ligar os que já tens a uma fonte de custo credível.
- Parte de uma probabilidade observável. Usa o risco humano agregado do programa, o que resulta de combinar resultados de simulações, comportamento real e exposição por área. É um número que a plataforma já calcula e que tem história, não uma estimativa de corredor.
- Ancora o custo do incidente a uma fonte pública. Em vez de propor um valor próprio, toma a referência de um relatório neutro e reconhecido como o Cost of a Data Breach da IBM ou o Verizon Data Breach Investigations Report, e escolhe o valor do setor e da região que correspondem à tua organização. O CFO confia primeiro numa fonte externa do que num número interno.
- Calcula a perda esperada. Multiplica a probabilidade pelo custo. Esse produto é o valor que pertence à conversa financeira, porque está na mesma unidade que os restantes riscos que a administração já gere.
- Mostra a sensibilidade, não apenas o nível. O CFO não compra um número estático. Compra quanto desce a perda esperada se o risco humano baixar uma quantidade concreta após o investimento. Esse declive é o que transforma uma despesa numa alavanca.
- Apresenta o programa como redução da perda esperada. O pedido final passa de “preciso de orçamento para sensibilização” a “com este investimento, a perda esperada por risco humano desce de forma material no próximo ciclo”. É aí que o programa deixa de ser uma rubrica de custo e passa a ser uma decisão de investimento.
Nenhum destes passos exige um modelo financeiro sofisticado. Exige a disciplina de não saltar a tradução e de não preencher com números inventados as lacunas onde falta o dado.
Como se pede orçamento sem recorrer ao medo?
Pede-se mostrando o custo de não decidir, não a catástrofe. O medo consegue uma aprovação pontual no dia em que aparece uma manchete sobre um ataque, e evapora-se no ciclo seguinte. Um contrafactual quantificado consegue algo mais valioso, uma rubrica de orçamento que se aguenta mesmo quando nada de grave aconteceu nesse trimestre.
A pergunta que mais mexe a agulha põe de lado o “o que acontece se nos atacarem?” e aponta para outra coisa, “como evolui a nossa perda esperada se não fizermos nada no próximo ano?”. Essa projeção obriga a tratar a gestão do risco humano como um ativo que se deprecia se não for mantido, e dá ao CFO exatamente o tipo de raciocínio com que está confortável. O custo da inação, posto em números, pesa mais do que qualquer cenário dramático.
Construir esse argumento é trabalho de business case, não de alarme. Se quiseres aprofundar como obter o apoio da gestão de topo sem te apoiares no susto, escrevemos sobre como obter o apoio da gestão de topo com business cases. A lógica é a mesma de qualquer investimento: comparar o custo de agir com o custo de não o fazer.
Que dados da plataforma sustentam essa conversa?
Toda esta tradução cai por terra se o número de partida chegar velho ou custar uma semana de trabalho a montar. Para que o responsável de segurança se possa sentar à frente do CFO com uma perda esperada defensável, o programa precisa de três coisas: um risco humano agregado que se atualize sozinho, a capacidade de projetar esse número para a frente, e a possibilidade de responder a uma nova pergunta na mesma reunião sem voltar à folha de cálculo.
Essa frescura do dado é um problema de plataforma antes de ser de critério. Sobre o primeiro ponto, o que medir para chegar a um risco humano agregado que faça sentido, já escrevemos em detalhe: vale a pena ler se o teu programa de sensibilização está a medir o que importa. Sobre o segundo, como esse dado chega fresco à administração sem quatro horas de tabelas dinâmicas, contámo-lo do lado da engenharia em porque é que o relatório de sensibilização chega tarde à administração.
Essa camada de resposta em tempo real resolvemo-la na SMARTFENSE com uma funcionalidade a que chamamos Insight Agent, hoje na sua fase de early adopters. Permite formular em linguagem natural a pergunta que o CFO acabou de fazer e obter o valor e a sua sensibilidade sem reconstruir o relatório. O protagonista desta conversa continua a ser a tradução do risco para dinheiro, que é critério humano. A plataforma apenas garante que o número que sustenta essa tradução está disponível quando é preciso e não duas semanas depois. Se quiseres vê-lo sobre os teus próprios dados, escreve-nos para te juntares ao programa ou conhece o resto da plataforma.
O responsável de segurança que sai da reunião da administração com menos orçamento do que pediu raramente perdeu por falta de argumentos técnicos. Perdeu porque apresentou numa moeda que o CFO não usa para alocar capital. Traduzir o risco humano em perda esperada não garante um sim. Mas põe a conversa no único terreno onde o sim é possível.
Perguntas frequentes
O que significa quantificar o risco humano em linguagem financeira?
Significa exprimir a exposição da organização aos erros das suas pessoas como uma perda monetária esperada: a probabilidade de um incidente originado numa pessoa multiplicada pelo seu custo estimado, e como esse número muda com o investimento no programa de gestão do risco humano.
Porque é que o CFO não aprova orçamentos de sensibilização apresentados com taxas de clique?
Porque uma taxa de clique não está na unidade que o CFO usa para comparar pedidos. Aloca capital comparando o custo com o valor devolvido, e uma percentagem de comportamento obriga-o a traduzir para dinheiro sem o contexto para o fazer. O pedido que chega já convertido em perda evitada compete melhor.
Que fonte usar para estimar o custo de um incidente?
Convém ancorar o custo a um relatório público e neutro como o Cost of a Data Breach da IBM ou o Verizon Data Breach Investigations Report, escolhendo o valor do setor e da região pertinentes. Uma fonte externa reconhecida gera mais confiança do que um valor interno.
Como se pede um orçamento de cibersegurança sem recorrer ao medo?
Mostrando o custo de não decidir em vez da catástrofe. Um contrafactual quantificado, quanto cresce a perda esperada se não se investir no próximo ciclo, sustenta uma rubrica de orçamento estável, ao passo que o medo só consegue aprovações pontuais que se evaporam no trimestre seguinte.
Deixe um comentário