Qual é o custo de uma violação de dados?
Não é segredo que vazamentos de dados são problemáticos e têm impactos notáveis nas organizações. Mas qual o tamanho desse impacto?
Segundo o Breach Level Index, da Gemalto, o número de registros perdidos por vazamento de dados (deliberados ou não) desde 2013 até o final de 2018 foi de mais de 14 trilhões de dados. Só no ano passado, a média de registros perdidos no primeiro semestre foi de 291 por segundo em todo o mundo. Claramente, dados como estes mostram que o risco de violação de dados, e de confidencialidade, é um problema sério, que pode trazer consequências graves para as organizações afetadas.
Contudo, casos de mega vazamentos, com milhões de registros perdidos, não refletem a realidade enfrentada pela grande maioria das empresas. Para elas, enxergar os prejuízos médios pode ser um desafio difícil de ser superado. Visando trazer um olhar criterioso para esta questão altamente relevante, é realizado anualmente um relatório de custos da IBM Security “Cost of a data breach report 2019” focado em vazamentos menores, que refletem a situação enfrentada pela maioria das organizações ao redor do mundo.
De acordo com o levantamento da IBM, os valores médios de vazamentos entre 2.000 e 100.000 registros foi de US$3,92M. Já no Brasil a média de prejuízos foi de US$1,4M. Na média, estes valores representam US$150,00 por registro, enquanto no Brasil, este número foi de US$69,00.
Vale analisar que os custos da violação de dados englobam quatro componentes:
- Detecção e reporte internos
- Notificação de indivíduos afetados
- Ações posteriores de resposta
- Perda de negócios
Este último componente é responsável por 36% do montante de prejuízos, o que comprova a extensão dos danos deste tipo de incidente.
Perdas por segmento
Os vazamentos tiveram impactos diferentes de acordo com o segmento afetado; a seguir, os dados relativos ao Brasil (mensuração em milhões):
Tempo de resposta vs. prejuízo
O tempo médio para identificar e conter o vazamento foi de 279 dias, no mundo, considerando apenas os ocasionados por ações deliberadas este número chega a 314. No Brasil, a média foi de 361 dias (2ª pior do estudo), o que é um mau sinal. Segundo o levantamento, quanto maior o tempo para detecção e remediação, maiores os impactos financeiros.
Analisando todo o ciclo de vida do vazamento, de uma perspectiva global, constatou-se que 67% das perdas tendem a ocorrer no primeiro ano, o que mostra a posição de vulnerabilidade que o País se encontra, visto que este é praticamente o tempo que se leva para solucionar o evento em si.
Somado a isso, o fato de que a chance de uma organização sofrer um vazamento significativo foi de 22,6% em 2014 para 29,6% neste ano mostra que este tipo de evento só tende a crescer em importância dentro do cenário corporativo, com potencial para ocasionar danos substanciais ao negócio. De fato, entre 2018 e 2019, o Brasil apresentou crescimento nas 4 métricas relativas ao vazamento de dados: perda anormal de clientes (2,6%), tamanho médio do vazamento (5%), custo geral total (20%), custo por registro (12%), o que confirma a necessidade de um olhar criterioso sobre segurança.
A importância de uma visão madura em segurança
A maior parte dos vazamentos (51%) foi ocasionada por ações maliciosas. Elas também levaram às perdas mais caras (25% acima da média de erros humanos ou falhas de sistema), e apresentaram tendência de alta, com crescimento de 21% entre 2014 e 2019 ao redor do mundo.
Paralelamente, foi constatado que contar com uma equipe de resposta a incidentes tende a reduzir as perdas em uma média de US$360,000. Ter um plano de resposta testado antes, reduz, por si, US$320,000. Contudo, ambos os fatores combinados, em comparação com empresas que não têm nenhum dos recursos, chegam a reduzir o prejuízo em até US$1,23M.
Fatores como treinamento e conscientização da equipe, uso de DevOps (ou, mais precisamente, SecDevOps) e ferramentas de inteligência artificial na plataforma de segurança tendem a reduzir o impacto das perdas. Por outro lado, problemas em compliance, momentos de grandes migrações para nuvem, uso amplo de IoT e violações em sistemas de terceiros tendem a intensificar as perdas.
Em contraste, pouco mais da metade (52%) das empresas têm segurança automatizada implantada total ou parcialmente. Consistentemente, nas empresas que não contam com estas soluções, as perdas tendem a ser 95% maiores.
No Brasil, apenas 36% das empresas têm segurança automatizada parcial ou totalmente implantada (2ª pior média), mais uma evidência dos riscos que as organizações nacionais correm diante de um cenário de ameaças cada vez mais avançadas e ataques direcionados.
Recomendações
A leitura destes dados levam a algumas constatações importantes para as empresas e profissionais:
- Tenha uma equipe e planos de resposta a incidentes, contando com profissionais qualificados e procedimentos maduros e testados. Invista em programas de gestão de risco e governança.
- Tenha planos de contingência junto aos seus clientes e conte com apoio de líderes como CISOs e DPOs para liderar a gestão de crises.
- Saiba quais são seus dados e tome medidas protetivas (como criptografia) para eles. Analise seu sistema em busca de falhas e trace planos para correção.
- Invista em tecnologias de proteção com recursos como IA, machine learning e automação, tanto para instâncias locais como nuvens e contêineres.
- Aplique DevOps no desenvolvimento e insira a segurança neste processo (SecDevOps).
A questão de violação de dados é séria, como se pode comprovar, e afeta empresas e organizações em todo o mundo. Diante disso, um olhar preventivo e uma estrutura sólida de segurança, operada e planejada por profissionais especializados e prontos para reagir de forma rápida e decisiva, é determinante para evitar perdas e manter não só a operação, mas a imagem e a credibilidade de seu negócio.