Pular para o conteúdo principal

CISO Budget Tips

Falar sobre budget de segurança é um desafio, quando chega o mês de dezembro o CISO/CSO precisa definir a receita adequada para atender as necessidades de segurança, estar preparado para tratar dos problemas não esperados e atender os requerimentos de segurança de uma nova regulamentação como o PCI-DSS, é um trabalho árduo e uma luta contra o tempo.

Me lembro que em 2009 trabalhei para uma credenciadora de cartão de crédito e estávamos nos preparando para a obter a certificação PCI-DSS e assegurar que todos os estabelecimentos estivessem em compliance com a norma, além disso tínhamos que garantir a certificação PA-DSS para aplicações  de cartão desenvolvidas pelas fábricas de software e aplicar o padrão PCI-PED (regras para os equipamentos de PoS e PIN-PED).

Como eu era responsável pela conformidade do PCI-DSS junto a rede de serviços tive a oportunidade de conversar com diversos CSO, CISO e CIO responsáveis por gerir o budget em suas empresas. Percebi a grande dificuldade que eles encontravam para lidar com a situação onde tinham que gastar $ reais em controles de segurança sem terem mapeados anteriormente, e acima de tudo, era premissa das bandeiras ter o controle para atender o prazo da regulamentação. Alguns executivos deram seus pulos e outros decidiram postergar e encarar os riscos, mas para não ficar fora do mercado e não perder a credibilidade e reputação perante seus clientes, a maioria teve que abraçar a causa. 

O final da história, foi que no segundo semestre as bandeiras Visa e Mastercard decidiram postergar o prazo para as empresas se certificarem, entendendo que em nosso país não estava ainda maduro como o mercado americano.

Em meio disso, eu gostaria de compartilhar este paper, ótimo para líderes de segurança, gerentes, CSO, CISO, CRO, CIO e CTO, que precisam justificar a receita para o budget de segurança. Este paper "CISOSs Discuss Best Ways to Gain Budget and Buy-in for Security", apresenta algumas dicas de executivos de grandes corporações que compartilham suas experiências no planejamento estratégico da gestão do budget convencendo a liderança da importância da segurança para a organização.

Para gerar o interesse a leitura deste paper, note os pontos discutidos:

- Determining How Much Should be Spent on Infosec.
- Budget Estimation and Spending Strategies.
- 5 Tips for Winning Budget Approval

Olhando para os títulos acima você pode ter uma idéia do valor deste documento...Boa leitura...


Learn how veteran security leaders strategically manage budgets and sell leadership on the importance of security 

CISOs Budget Tips

Optimum Level of Security Spend


Infosec Budget as a Percentage of IT Budget by Industry


Smaller Companies Spend More IT Budget on Security
Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Criando resiliência na gestão de vulnerabilidades

Entre explorações tradicionais de brechas e novas falhas geradas pelas dificuldades em aplicar patches de atualização constantemente, a gestão de vulnerabilidade continua sendo um dos grandes desafios para as Lideranças de Segurança Cibernética protegerem ambientes em cloud e on premise. Nesse artigo, os Cibersecurity Advisors, Rangel Rodrigues e Marcilio Rodrigues, apontam estratégias e boas práticas necessárias para blindar os ambientes digitais das empresas e garantir a continuidade dos negócios Por Rangel Rodrigues e Marcilio Rodrigues* Nestes quase 2 anos atuando como BISO, tive uma experiência um pouco diferente das anteriores. Meu papel era estabelecer uma conexão com os executivos de negócios e interconectar as áreas de tecnologia e cibersegurança, mas o que eu não percebi foi que a abordagem muda dependendo da cultura da organização. Sendo um profissional com uma raiz pura em tecnologia, já trabalhei em diversas frentes de TI e cibersegurança, mais precisamente nos últimos ano...
Postar um comentário
Leia mais

Seis princípios para fortalecer sua estratégia de Cibersegurança

O Security Advisor, Rangel Rodrigues, destaca em seu artigo o papel fundamental na estrutura de CISO, os desafios de mercado para 2025 e como a história de Neemias pode servir de inspiração para os líderes de Cibersegurança ganharem mais resiliência cibernética Em linhas gerais, a posição de um líder em Cibersegurança não tem sido fácil, mas diria o mesmo para qualquer profissional que trabalhe na estrutura de CISO em uma organização. Na história da Segurança da Informação, Steve Katz foi o primeiro CISO, no Citigroup, em meados de 1994, depois que o grupo sofreu um ataque cibernético de um hacker russo chamado Vladimir Levin. O banco criou a primeira posição de executivo de segurança cibernética do mundo e, a partir disso, a estrutura do CISO tem se expandido, sendo até comparada com a função de um piloto, devido às regras no espaço aéreo e alta complexidade de atuação. Tenho ouvido de alguns profissionais no Brasil e nos EUA que ainda não são muito valorizados, apesar de o cenário t...
Postar um comentário
Leia mais

O inimigo pode estar onde menos esperamos

Quais lições podem ser aprendidas com o apagão cibernético? Assim como no ataque às Torres Gêmeas, esse incidente também incentivará mais mudanças nos processos de Continuidade e Recuperação de incidentes, especialmente num ambiente cibernético hiperconectado, em que uma pequena falha pode causar uma crise de proporções inesperadas. O advisor e arquiteto em Segurança da Informação, Rangel Rodrigues, aponta questionamentos visando incrementar as estratégias futuras *Por Rangel Rodrigues O recente incidente com o Falcon (EDR) da CrowdStrike, usado por muitas organizações ao redor do globo, ocorreu após liberação de uma correção com defeito, que corrompeu um arquivo nos sistemas operacionais Microsoft Windows, resultando na famosa tela azul (blue screen of death). Consequentemente se gerou uma paralisação ou apagão cibernético, impactando globalmente os serviços de hospitais, sistemas financeiros, atendimentos e aeroportos. As consequências da crise levaram até a Comissão do Senado norte-...
Postar um comentário
Leia mais