Você tem ideia de quanto um vazamento de dados pode custar à sua empresa? Para começar, vamos esclarecer rapidinho o que é exatamente um vazamento de dados. Ele ocorre quando os dados de uma pessoa, cliente ou empresa (como nome, registro médico, dados bancários e financeiros etc.) são colocados em risco e expostos em um ambiente não confiável. Pode ser por conta de um ataque hacker, erro humano ou falhas de sistema. Se a descrição já pareceu um problema grande, é porque realmente é. Vazamentos de dados podem ser responsáveis por perdas financeiras, danos à credibilidade e até pelo fechamento completo de empresas.
Sabemos que você está curioso em relação aos custos, então vamos lá. Um relatório divulgado recentemente, feito pelo Instituto Ponemon em conjunto com a IBM, mostra que o custo médio de um vazamento de dados gira em torno de USD 3,9 milhões. O valor varia de país para país, sendo que o mais alto é nos EUA, com custo médio de USD 8,19 milhões, enquanto o mais baixo é no Brasil, com custo médio de USD 1,35 milhão.
Esses números foram apurados com base em dados de 507 empresas de 16 países e regiões, distribuídas por 17 áreas de atuação diferentes. Todas elas passaram por algum episódio de vazamento de dados entre julho de 2018 e abril de 2019.
Além do custo médio de um vazamento de dados, o estudo trouxe vários outros pontos interessantes que você pode conferir mais abaixo. Demos destaque a alguns deles, como custos por tamanho da empresa, ramo de atividade, o tempo de resposta ao vazamento, além das causas e os fatores que ajudaram a mitigar o prejuízo.
É importante destacar também tudo que é incluído no rol de custos com um vazamento de dados. Estão na conta os custos para detectar e reportar o vazamento; notificar usuários e os órgãos reguladores; colocar em prática um plano de resposta e arcar com gastos com multas, advogados e compensações aos clientes afetados; e, principalmente, perda de negócios. Este é, inclusive, o maior responsável pelos custos de um vazamento de dados, e inclui a perda de clientes e perdas de receita com a interrupção do serviço.
Confira os principais destaques do relatório sobre os custos de um vazamento de dados
Pequenas empresas têm prejuízos altos
Ao contrário do que podemos imaginar, os custos altos de um episódio de vazamento de dados não ficam restritos apenas a grandes corporações. Empresas com menos de 500 funcionários relataram custos em torno de USD 2,74 milhões, e empresas de 500 a mil funcionários, USD 2,65 milhões. É um valor significativo para pequenas e médias empresas.
Além disso, as pequenas e médias empresas têm um custo desproporcionalmente maior por funcionário em comparação com as grandes corporações. Veja só: o estudo apontou custos de USD 204 por funcionário para empresas com mais de 25 mil colaboradores, contra USD 3.533 por funcionário para empresas com 500 a mil empregados. Fica claro, portanto, que para as pequenas e médias empresas o impacto financeiro de um vazamento de dados pode ser irremediável.
Os custos variam de acordo com a área de atuação da empresa
O estudo analisou empresas de 17 áreas de atuação diferentes, e verificou que as que tiveram mais prejuízo com episódios de vazamentos de dados atuavam em áreas mais regulamentadas, com compliance e marcos regulatórios rigorosos.
As cinco áreas com maior custo médio por cada episódio de vazamento de dados foram saúde (USD 6,45 mi), serviços financeiros (USD 5,86 mi), energia (USD 5,60 mi), indústria (USD 5,20 mi) e indústria farmacêutica (USD 5,20 mi). As de menor custo médio foram as áreas de mídia (USD 2,24 mi), hotelaria (USD 1,99 mi), comércio (USD 1,84 mi) e pesquisa (USD 1,65 mi), além do setor público (USD 1,29 mi), que geralmente tem custos menores porque não sofre tanto com perda de clientes como as empresas privadas.
O tempo de resposta influencia o tamanho do dano
Outro item apurado no estudo foi o tempo de resposta e o chamado “ciclo de vida” de um vazamento de dados, que é o número de dias entre a data em que o incidente ocorre e a data em que ele é finalmente contido. Esse é um fator importante porque influencia o impacto financeiro causado às empresas. Quanto mais rápido um vazamento é identificado, menor é o custo.
Em média, o ciclo de vida de um episódio de vazamento de dados em 2019 foi de 279 dias. Apenas para identificar o vazamento foram em média 206 dias, e outros 73 dias para conseguir contê-lo.
Os vazamentos de dados das empresas da área de saúde são os que tiveram pior tempo de resposta. Segundo o relatório, o tempo de detecção de um vazamento chegou a 236 dias, e o tempo de contenção a 93 dias.
Veja só o impacto financeiro que isso pode ter: vazamentos que levaram menos de 200 dias para serem detectados e contidos custaram cerca de USD 1,2 milhão a menos do que aqueles que levaram mais tempo do que isso. É uma redução de 37% no custo médio, de USD 4,56 milhões para USD 3,34 milhões.
Ataques maliciosos são as principais causas de vazamento de dados
Por trás de todo episódio de vazamento de dados há uma causa, que pode ser um ataque malicioso, um erro humano ou um erro de sistema. A maioria dos vazamentos (51%) analisados pelo estudo ocorreram por conta de um ataque malicioso. Isso é preocupante em termos de custos, porque os vazamentos com origem em ataques levaram em média mais tempo para serem detectados e contidos (314 dias, contra a média de 279 dias) e custaram 37% a mais do que vazamentos causados por erros de sistema.
Além disso, os vazamentos causados por erro humano podem ter também como pano de fundo um ataque malicioso. Isto porque o estudo incluiu nessa categoria pessoas que podem ter sido vítimas de ataques de phishing ou que tiveram seus equipamentos infectados e, sem querer, permitiram o vazamento de dados sensíveis.
A prevenção é determinante para diminuir os danos
Se você chegou até aqui assustado depois de tantas cifras assustadoras, saiba que nem tudo está perdido. Outro ponto destacado no relatório é que a prevenção pode reduzir, e muito, os custos de um vazamento de dados.
A primeira dica é: tenha um plano de resposta a incidentes, cuja importância nós já destacamos aqui nesse post, monte a equipe responsável por executar esse plano e teste-o preventivamente. De acordo com o estudo, empresas que tinham uma equipe de resposta a incidentes e que testaram seus planos de resposta a incidentes, com simulações e exercícios, tiveram uma redução de USD 1,23 milhão no custo médio de um episódio de vazamento de dados.
Outro fator importante é apostar em elementos de segurança como criptografia, DLP (Data Loss Prevention), compartilhamento de inteligência sobre ameaças e DevSecOps. Todos eles foram fatores que ajudaram a mitigar os custos antes ou depois de um vazamento de dados, com destaque à criptografia, que foi o que proporcionou mais economia. Além disso, um Plano de Continuidade de Negócios após o episódio de vazamento também contribuiu para reduzir os custos.
Ainda no campo da segurança, um elemento apontado pelo estudo como redutor de custos foi o uso de soluções de segurança automatizadas, que reduzam a necessidade de intervenção humana. Nesse caso, estamos falando de soluções que usam inteligência artificial, machine learning, resposta automática a incidentes etc. Empresas que não usaram segurança automatizada tiveram custos 95% maiores em caso de vazamentos de dados do que empresas com automatização completa.
Isso mostra a importância do investimento em cibersegurança, que pode diminuir os custos e ajudar a evitar episódios como o de vazamentos de dados. Como o próprio estudo mostrou, um vazamento pode ocorrer com empresas de todos os tamanhos, causando prejuízos financeiros relevantes também a pequenas e médias empresas.
Autoria: Gatefy
Fonte: https://gatefy.com/pt-br/postagem/quanto-vazamento-de-dados-pode-custar-empresa