theNet by CLOUDFLARE

Calcular o ROI dos investimentos em segurança

Transformar a segurança de centro de custo em valor estratégico

Apesar do impulso recente, a ascensão da segurança cibernética ao topo da lista de prioridades corporativas está longe de ser concluída.

Certamente, muitos CISOs se reportam diretamente ao CEO e estão sendo solicitados a discutir risco e conformidade com o conselho de sua empresa. No entanto,mais da metade das equipes de segurança dizem que estão subfinanciadas, o que as impede de fazer investimentos essenciais na redução de riscos. De forma justa ou não, muitas organizações acabam vendo sua equipe de segurança como um centro de custos, uma percepção que pode colocar os investimentos em segurança em risco quando os orçamentos são apertados ou as previsões financeiras se tornam instáveis.

Para mudar essa percepção, os líderes de segurança precisam passar um tempo significativo criando relacionamentos com seus colegas e alinhando a estratégia de segurança às prioridades mais amplas da empresa. Durante esse processo, pode ser útil discutir o retorno do investimento (ROI) dos investimentos em segurança anteriores. Essas estimativas podem ajudar outros líderes a entender o quanto de valor a equipe de segurança já gerou, e possivelmente convencê-los a apoiar investimentos semelhantes no futuro.

Alinhar as estimativas de ROI com as prioridades da empresa

Antes de decidir que tipos de ROI calcular e de analisar os dados, os líderes de segurança devem primeiro decidir que tipo de história estão tentando contar. Qualquer número ou métrica, não importa o quão impressionante seja, pode parecer aleatório se não se alinhar a uma prioridade mais ampla da empresa.

Aqui estão três prioridades digitais comuns e as várias estimativas de ROI que podem ajudar a apoiá-las:

Continue lendo para ver métodos específicos para realizar cada um desses tipos de estimativas.

Estimativa de ROI 1: receita economizada com a redução de interrupções de aplicativos web

Existem muitas métricas e pontuações para quantificar o risco e suas reduções. É claro que essas pontuações podem ser úteis para as equipes de segurança, mas podem parecer muito abstratas para outras pessoas em uma organização compreenderem.

Em vez disso, ao falar sobre o impacto das melhorias de segurança, tente vinculá-las a um número com o qual toda a empresa se preocupa. Em um contexto de segurança de aplicativos web, um desses números é a receita gerada pelo referido aplicativo web. Avaliar como sua melhoria de segurança protege a receita é muito mais concreto do que uma pontuação de risco isolada.

Para realizar tal estimativa, você precisará dos seguintes dados:

  1. A quantidade de tempo de inatividade relacionado ao ataque que seu site experimentou antes e depois do investimento em questão. Idealmente medido em horas ao longo de um ano, uma vez que uma janela de tempo mais curta pode ignorar períodos de altas vendas. Provavelmente, fará sentido obter diferentes versões desse número para diferentes tipos de ataques (por exemplo, DDoS, bots maliciosos).

  2. O custo por hora/dia do tempo de inatividade em seu site. Para empresas B2C, sua equipe de comércio eletrônico deve ser capaz de lhe informar quanta receita seu site gera por hora. No caso de empresas B2B, sua equipe de marketing poderá lhe informar quantos leads ou preenchimentos de formulários seu site gera por hora/dia e o valor médio de um lead. De qualquer maneira, uma média mensal/anual ampla é um bom ponto de partida, embora você possa querer tirar a média de períodos específicos (por exemplo compras das festas de final de ano) se for esse o momento em que os ataques tendem a ocorrer.

Com esses números, você obterá uma estimativa consistente da receita que protegeu ao bloquear mais de um determinado tipo de ataque. Você pode usar essa estimativa para criar adesão para uma expansão do projeto original ou simplesmente para demonstrar que projetos relacionados terão um impacto significativo.

Estimativa de ROI 2: redução do risco de violação de aplicativos web

Alguns investimentos em segurança não influenciam diretamente a receita, por exemplo, se estiverem concentrados inteiramente na prevenção de violações futuras hipotéticas. Nesses casos, os líderes de segurança têm um equilíbrio sensível a atingir ao medir o ROI. Por um lado, as métricas de risco proprietárias podem ser difíceis de entender. Por outro, os números do custo médio da violação de dados podem ser bastante grandes, o que pode parecer alarmante. E os líderes de segurança sabem que não podem simplesmente prometer evitar todas as futuras violações.

Para adotar uma abordagem mais equilibrada, os líderes de segurança podem usar os seguintes números:

  • A probabilidade de sofrer uma violação em um determinado período de tempo. Dependendo dos dados disponíveis, pode fazer sentido usar dados reais da empresa ou uma referência do setor.

  • O custo médio de uma violação de dados. Mais uma vez, as referências do setor podem ajudar a tornar esse número mais preciso.

  • Porcentagem de violações que se originam na superfície/vetor de ataque em questão.

  • Porcentagem de redução de risco por meio do investimento em segurança. Use métricas o mais amplamente aceitas quanto possível. Por exemplo, para aplicativos web, pode ajudar a determinar quantos dos Top 10 do OWASP o investimento em segurança aborda ou evita.

Esses números permitem que os líderes de segurança criem uma estimativa mais detalhada da economia de custos relacionada a violações e ajudam outros líderes a compreender uma ideia, em última análise, incerta de uma forma mais tangível.

Estimativa de ROI 3: economia de custos por meio da economia de tempo da equipe

Para investimentos sem impacto direto no perfil de risco da organização, os líderes de segurança devem tentar demonstrar o impacto na produtividade e eficiência da equipe. Se sua equipe de segurança economiza tempo (ou se oferece para fazê-lo) fazendo um investimento específico, o preço inicial pode parecer menos preocupante para os colegas líderes. Além disso, mais tempo para a equipe significa mais tempo para se concentrar em um trabalho mais estratégico.

Uma maneira de calcular isso requer os seguintes números:

  • O custo médio por hora para empregar um membro da equipe de segurança. Dependendo da natureza do investimento, você pode querer se concentrar em membros específicos da equipe afetados pelo investimento ou extrapolar como isso pode afetar toda a equipe.

  • A quantidade de horas economizadas por semana/mês/ano devido ao seu investimento em segurança. Isso pode envolver alguma estimativa da quantidade média de tempo necessária para executar tarefas relevantes, por exemplo, responder tickets, atualizar políticas ou integrar usuários. Além disso, períodos de tempo mais curtos podem ser mais úteis para fins de planejamento de recursos, enquanto períodos de tempo mais longos podem funcionar melhor em contextos gerais de economia de custos.

Além dos benefícios mencionados acima, a multiplicação dos dois números criará uma estimativa que pode tornar a economia de tempo tangível para líderes que podem não reconhecer o valor dos profissionais de segurança.

A plataforma de segurança certa gera um ROI mais alto

Não é possível avaliar a vantagem de um serviço de segurança se ele nunca acontecer. E, infelizmente, muitas plataformas de segurança têm falhas estruturais que reduzem a eficiência e a visibilidade que proporcionam por razões como:

  • Precisam de integração manual e/ou serviços extras de unificação para que tudo funcione junto.

  • Várias IUs para diferentes coleções de serviços.

  • Vários serviços residem em infraestruturas diferentes, resultando em problemas de desempenho e disponibilidade.

A nuvem de conectividade da Cloudflare, uma plataforma unificada de serviços de segurança e conectividade nativos de nuvem, é diferente. Ela foi desenvolvida desde o início com eficiência, visibilidade e controle em mente, através de:

  • Arquitetura combinável e programável: com todos os serviços podendo ser executados em todos os servidores da rede e personalizáveis por meio de funções fáceis sem servidor.

  • Alcance global e onipresente: abrangendo mais 335 de cidades no mundo e interconectando-se com mais de 13.000 outras redes.

  • Inteligência contra ameaças multifuncional alimentando todos os serviços: obtida ao atender cerca de 20% de todo o tráfego da web .

  • Uma interface unificada e simplificada: onde os usuários podem gerenciar todos os serviços de segurança por meio de um único painel de controle.

Um estudo recente da Forrester descobriu que uma organização composta, representativa dos clientes entrevistados, protegeu quase um milhão de dólares em receita, reduziu o risco de violação de aplicativos web em 25% e obteve 238% de ROI em três anos.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.

Saiba mais sobre esse assunto

Saiba mais sobre o ROI da nuvem de conectividade da Cloudflare, incluindo estimativas específicas como estas, no relatório da Forrester Total Economic Impact of Cloudflare’s connectivity cloud


Principais conclusões

Após ler este artigo, você entenderá:

  • Como calcular o ROI de diferentes tipos de esforços de segurança

  • Como as estimativas de ROI de segurança ajudam a apoiar investimentos futuros

  • Tipos de plataformas de segurança que fornecem o melhor ROI


Recursos relacionados

Receba um resumo mensal das informações mais populares da internet.

Assine o theNET

Comece a usar

Recursos

Soluções

Comunidade

Suporte

Empresa

© 2025 Cloudflare, Inc.Política de privacidadeTermos de UsoDenuncie problemas de segurançaConfiança e segurançaMarca registradaImpressum