Fonte: IBM

A IBM (NYSE: IBM) Security anunciou, dia 23 de julho, os resultados do estudo anual que analisa o impacto financeiro das violações de dados nas organizações. Segundo o relatório, encomendado pela IBM Security e conduzido pelo Instituto Ponemon, o custo de uma invasão de dados aumentou 12% nos últimos 5 anos, passando para US$ 3,92 milhões, em média [1]. O aumento nas despesas é decorrente do impacto financeiro plurianual das violações, da ampliação de regulamentações e do complexo processo de resolução de ataques criminosos.

As consequências financeiras de uma violação de dados podem ser maiores para pequenas e médias empresas. No estudo, organizações com menos de 500 funcionários sofreram perdas de mais de US$ 2,5 milhões em média – um montante potencialmente devastador, pois o faturamento destas está em torno de US$ 50 milhões ou menos em receita anual.

Pela primeira vez este ano, o relatório também analisou o impacto financeiro de uma violação de dados no longo prazo, concluindo que seus efeitos serão percebidos por anos. Enquanto uma média de 67% dos custos de violação de dados são percebidos no primeiro ano, 22% acumulam para o segundo e 11% vão além de dois anos após uma invasão. Os gastos foram maiores no segundo e no terceiro ano para organizações em ambientes altamente regulamentados, como saúde, energia, farmacêutico e serviços financeiros.

“O cibercrime equivale a perdas significativas para as empresas. As organizações enfrentaram a perda ou o roubo de mais de 11,7 bilhões de registros nos últimos 3 anos e precisam estar cientes do impacto financeiro e na reputação que uma violação de dados pode gerar. Mais do que nunca, empresas de todos os tamanhos e setores precisam se prevenir e se concentrar em como gerenciar esse risco e reduzir esses custos”, diz João Rocha, Diretor de Cybersecurity da IBM Brasil.

O estudo é feito com base em entrevistas detalhadas com mais de 500 empresas em todo o mundo, incluindo o Brasil, que sofreram violação no último ano. [2] A análise leva em conta centenas de fatores de custo, incluindo atividades legais, regulamentares e técnicas para a perda de valor de marca, clientes e produtividade dos funcionários.

Algumas das principais descobertas do relatório deste ano incluem:

  • Ataques maliciosos – mais comuns e caros: mais de 50% das violações de dados no estudo resultaram de ciberataques maliciosos, custando às empresas US$ 1 milhão a mais em média do que as originadas de causas acidentais.
  • Mega violações levam a mega prejuízos: embora menos comuns, as violações de mais de 1 milhão de registros custam às empresas uma perda projetada de US$ 42 milhões. Já as de 50 milhões de registros podem custar às empresas US$ 388 milhões.[3]
  • A prática leva à perfeição: empresas com uma equipe e plano de resposta aos incidentes obtiveram uma redução de US$ 1,23 milhão nos custos de violação de dados, em média, em relação aos que não tinham nenhuma medida em vigor.
  • O dobro nos EUA: o custo médio de uma violação nos Estados Unidos é de US$ 8,19 milhões, mais que o dobro da média mundial.
  • Violações de serviços de saúde custam mais: pelo 9º ano consecutivo, as organizações de saúde tiveram o maior custo de uma violação – quase US$ 6,5 milhões em média (mais de 60% do que outras indústrias).

Ataques maliciosos representam uma ameaça crescente e violações acidentais ainda são comuns

O estudo constatou que as violações de dados originadas por um ataque malicioso não são apenas a causa mais comum de uma violação, mas também a mais cara. Elas custaram às empresas US$ 4,45 milhões, em média, mais de US$ 1 milhão além do que as originadas de causas acidentais, como falha no sistema e erro humano. Essas violações são uma ameaça crescente, à medida que a porcentagem de ataques maliciosos ou criminosos subiu de 42% para 51% nos últimos seis anos do estudo (um aumento de 21%).

Considerando isso, violações inadvertidas de erros humanos e falhas no sistema ainda eram a causa de quase metade (49%) das violações de dados no relatório, custando às empresas US$ 3,5 e US$ 3,24 milhões, respectivamente. As violações de erros humanos e de máquina representam uma oportunidade de melhoria, pois podem ser enfrentadas por meio de treinamento de conscientização de segurança para funcionários, investimentos em tecnologia e serviços de teste para identificar violações acidentais desde o início. Uma área específica de preocupação é a configuração incorreta de servidores em nuvem, que contribuiu para a exposição de 990 milhões de registros em 2018, representando 43% de todos os registros perdidos do ano, de acordo com o relatório IBM X-Force Threat Intelligence Index[4].

Ter uma equipe de resposta a incidentes permanece como principal fator de economia de custos

Nos últimos 14 anos, o Instituto Ponemon analisou fatores que aumentam ou reduzem o custo de uma violação e descobriu que a velocidade e a eficiência com que uma empresa responde a uma violação têm um impacto significativo no custo total.

O relatório deste ano constatou que o ciclo de vida médio de uma violação foi de 279 dias – com as empresas levando 206 dias para identificar uma invasão após a ocorrência e um prazo adicional de 73 dias para contê-la. No entanto, as empresas que conseguiram detectar e conter uma violação em menos de 200 dias gastaram US$ 1,2 milhão a menos.

Além de ajudar a reduzir o tempo de resposta das empresas, ter uma equipe de resposta a incidentes no local e realizar testes extensivos de planos de resposta foram dois dos três principais fatores de economia de custos examinados no estudo. As empresas que colocaram em prática essas duas medidas reduziram cerca de US$ 1,23 milhão dos custos totais para uma violação de dados em comparação com aquelas que não tiveram nenhuma medida em vigor.

Outros fatores que afetam o custo de uma violação para as empresas do estudo incluem:

  • Número de registros comprometidos: violações de dados custam às empresas cerca de US$ 150 por registro perdido ou roubado.
  • Empresas que implementaram tecnologias de automação de segurança tiveram cerca de metade do custo de uma violação (média de US$ 2,65 milhões) em comparação com aquelas que não tinham essas tecnologias (US$ 5,16 milhões, aproximadamente).
  • O uso extensivo de criptografia também foi um fator de grande economia, reduzindo o custo total de uma violação em US$ 360 mil.
  • Violações originadas de um terceiro, como um parceiro ou fornecedor, custam às empresas US$ 370 mil a mais que a média, enfatizando a necessidade de as empresas examinarem de perto a segurança das empresas com as quais fazem negócios, alinhar padrões de segurança e monitorar ativamente o acesso de terceiros.

Tendências regionais e de setores

O estudo também analisou o custo de violações de dados em diferentes indústrias e regiões, descobrindo que as violações de dados nos Estados Unidos são muito mais caras, custando US$ 8,19 milhões, ou mais que o dobro da média do estudo. Esse valor aumentou 130% nos últimos 14 anos do estudo, com US$ 3,54 milhões em 2006.

No Brasil, o custo médio de uma violação de dados é de US$ 1,35 milhão, um aumento de 18,93% em relação ao ano anterior. O estudo também observou um aumento no número de dias para identificar a violação de dados, que subiu de 240 para 250, e para conter a violação, que cresceu de 100 para 111 dias, em comparação a 2018.

Além disso, as organizações do Oriente Médio registraram o maior número médio de registros violados, com quase 40 mil registros violados por incidente (em comparação com a média global de cerca de 25.500).

Pelo 9º ano consecutivo, as organizações de saúde tiveram os maiores custos associados a violações de dados, com quase US$ 6,5 milhões – mais de 60% superior à média do setor.

Relatório completo

Para conferir o estudo na íntegra, acesse: “Cost of a Data Breach Report 2019”.

Inscreva-se para o webinar da IBM Security e do Instituto Ponemon, que ocorrerá no dia 30 de julho de 2019.

_____
[1] Comparação do custo médio de uma violação de dados do relatório de 2014 para o de 2019.
[2] As limitações do relatório e metodologias empregadas podem ser encontradas no relatório completo.
[3] Cálculos de custo de mega violações são baseados em uma análise de 14 empresas, aplicando uma abordagem analítica de Monte-Carlo para simular resultados de maior significância estatística.
[4] IBM X-Force Threat Intelligence Index 2019

Compartilhe