Como são tomadas as decisões de compra de tecnologia de segurança cibernética nas empresas?

Como são tomadas as decisões de compra de tecnologia de segurança cibernética nas empresas?  

Encomendada pela Thycotic, uma pesquisa foi realizada entre mais de 900 CISOs / tomadores de decisão sênior de TI em nove países em agosto de 2020. O relatório dos resultados da pesquisa examina de perto como os profissionais de TI e segurança tomam decisões de compra de tecnologia e o que mais influencia os Conselhos a investir em segurança cibernética.

O novo relatório, intitulado Guia da Equipe De Segurança Cibernética Para Tomada De Decisões Tecnológicas aborda como evitar armadilhas, avalia soluções, aponta como superar barreiras e fornece vários insights sobre o que está impulsionando os investimentos em segurança cibernética à medida que entramos na temporada de orçamentos para o ano seguinte.

A boa notícia: o estudo de pesquisa global descobriu que mais da metade (58%) dos tomadores de decisão de segurança de TI afirmam que suas organizações planejam aumentar seu orçamento de segurança nos próximos 12 meses. Em meio às crescentes ameaças cibernéticas e aos crescentes riscos da crise COVID, a pesquisa indica que os conselhos estão ouvindo e aumentando o orçamento para segurança cibernética, com a esmagadora maioria, 91%, concordando que o Conselho os apoia adequadamente com investimentos. Quase 3 em 5 acreditam que no próximo ano financeiro terão mais orçamento de segurança por causa do COVID-19.

A má notícia: mesmo com o crescente suporte ao gerenciamento executivo, os CISOs e suas equipes de segurança devem permanecer vigilantes ao defender seus investimentos em segurança cibernética. Mais de um terço (37%) dos investimentos propostos pelos participantes, por exemplo, foram rejeitados porque a ameaça foi percebida como de baixo risco ou porque a tecnologia não tinha ROI demonstrável. Um terço (33%) dos participantes da pesquisa acreditam que a alta administração geralmente não compreende a escala da ameaça ao tomar decisões de investimento em segurança cibernética.

– Incidentes de segurança e conformidade ajudam a aprovar orçamentos

77% dos entrevistados disseram que um incidente de segurança em sua organização ou uma falha de auditoria ajudou a convencer seus conselhos a aprovar o investimento em novos projetos de segurança cibernética. Portanto, não é surpreendente que a conformidade pareça ser o principal motivador para fazer com que a gerência executiva invista.

A Europa, por exemplo, viu várias empresas receberem multas significativas em milhões de euros resultantes de violação de dados ou não conformidade com o GDPR da UE. Aqui está a divisão por país.

– O que esperar daqui para frente

O caminho à frente para os líderes de TI e segurança cibernética rumo a 2021 é complicado. A rápida evolução das ameaças em redes sem perímetro, junto a uma gama cada vez maior de opções de tecnologia de segurança cibernética, complica a tomada de decisões de TI.

Como você toma decisões no mundo real sobre onde e quando alocar recursos finitos que melhor atendam aos interesses de sua organização, agora e no futuro? Suas decisões são baseadas em fatos e não no medo? Que tipo de critério de avaliação você deseja dos fornecedores para ajudá-lo a tomar decisões mais informadas? Aqui está o que esta pesquisa global diz sobre como seus colegas estão tomando decisões de compra de tecnologia.

Quase metade dos entrevistados veem sua organização como “na média” (45%) e apenas um terço considera suas empresas “pioneiras” (36%), adotando novos avanços tecnológicos. Apenas 17% acham que seus negócios estão sob controle, priorizando o investimento de acordo com as ameaças à segurança mais recentes.

– Fontes de informação mais importantes para os tomadores de decisão 

Antes de comprar novos produtos de segurança cibernética, os entrevistados destacaram suas fontes mais importantes de tomada de decisão informada. De acordo com a pesquisa, os principais tomadores de decisão de segurança de TI procuram mais frequentemente seus colegas para obter orientação. O benchmarking com outras empresas em seu setor foi o principal método na tomada de decisões, com 46% dos entrevistados avaliando seus esforços em comparação com o que seus colegas estão fazendo. Outros 43% veem os analistas do setor como sua fonte de informações mais importante. Um número significativo de 39% confia na opinião de seus pares como a mais importante para seu processo de tomada de decisão e 39% confia nas relações existentes com fornecedores.

Um dos aspectos mais interessantes desta pesquisa são as diferenças observadas entre os nove países envolvidos na pesquisa. A tabela mostra o que vários países pesquisados indicaram como suas fontes de informação mais importantes na tomada de decisões de tecnologia.

O Reino Unido, Nova Zelândia, Espanha, Cingapura e Malásia, por exemplo, veem o benchmarking com pares do setor como a principal fonte de informações na tomada de decisões, enquanto os EUA e a Austrália se inclinam para os analistas do setor em busca de orientação. A Alemanha se destaca por dar um peso importante às relações existentes com os fornecedores, embora todas as preferências tenham prioridade muito próxima.

– O que leva à decisão final de compra?

Embora as características do produto geralmente façam a maior diferença na tomada de decisão final de compra (44%), é interessante notar que 24% dos entrevistados consideram a reputação da empresa o fator mais decisivo. Outros 15% consideram sua confiança no vendedor individual o mais importante na decisão final.

Mesmo que todos gostemos de pensar que as compras de tecnologia são baseadas estritamente em critérios racionais, fica claro pela pesquisa que a reputação de um fornecedor e a confiança em um vendedor individual ainda desempenham um papel crítico em muitas decisões finais de compra de tecnologia.

Um destaque da pesquisa indica que as operações de TI compartilham uma parte significativa do processo de tomada de decisão de compra com as equipes de segurança. Entre os participantes da pesquisa, as operações de TI têm a palavra final nas decisões de compra de segurança cibernética (38%) em comparação com a equipe de segurança e o CISO (32%). A França parece contrariar esta tendência, onde as operações têm muito menos influência na palavra final (18%).

– Um aviso sobre os investimentos em segurança cibernética à medida que avançamos para 2021

Embora o apoio da Diretoria Executiva esteja se expandindo e os orçamentos de segurança cibernética geralmente aumentem, a pesquisa levantou uma bandeira vermelha quando se trata de executar as decisões de investimento que tomamos. Isso porque os profissionais de TI e segurança admitem que apenas 50% de seus investimentos em tecnologia de segurança cibernética são totalmente utilizados.

Pode haver vários motivos pelos quais nossos investimentos em tecnologia de segurança cibernética podem não realizar todo o seu potencial na proteção de nossas organizações. Dada a escassez de talentos em segurança cibernética, as empresas podem ficar frustradas por não ter recursos de pessoal para implementar totalmente as soluções além de sua implantação inicial. Também pode ser um sinal de que muitas soluções de tecnologia de segurança ainda são excessivamente complexas ou não se integram bem com sistemas legados.

Em qualquer caso, uma das principais recomendações do relatório enfatiza que uma Prova de Conceito (PoC) adequada deve ser realizada antes de se tomar qualquer decisão de compra de tecnologia.

Aqui estão os tipos de perguntas que você deve fazer ao fazer sua avaliação. 

É fácil implantar a solução?

Quão intuitiva é a interface do usuário?

Tenho os recursos qualificados para operar e manter?

Isso exigirá serviços profissionais adicionais? E a que custo?

Quais são os requisitos subjacentes ou custos ocultos?

Funciona no meu ambiente específico?

Ele se integra às minhas soluções existentes?

Que tipo de opções de suporte estão disponíveis com a solução?

Podemos tentar registrar algumas chamadas de suporte apenas para testar a resposta?

Isso tornará nossas tarefas do dia-a-dia mais fáceis e eficientes?

Oferece mais valor para as prioridades futuras e planos de negócios?

Ele vai se adaptar e escalar conforme nosso negócio cresce?

No auge da temporada de orçamentos, agora, as equipes de operações de TI e de segurança cibernética fariam bem em ler o relatório da pesquisa e refletir sobre seus próprios processos de avaliação. Compartilhar as experiências de nossos colegas neste relatório de pesquisa tornará todos nós tomadores de decisão melhores.

Fonte: https://thycotic.com/company/blog/2020/10/13/how-it-decision-makers-make-cyber-security-tech-buying-decisions/