Gastos com violações de dados caem no Brasil

A IBM Security anunciou os resultados de um estudo global que examinou o impacto financeiro de uma violação de dados nos resultados finais de uma empresa. Em geral, o estudo, feito com 500 empresas em 15 países (incluindo o Brasil), constatou que os custos ocultos em violações de dados – como perda de negócios, impacto negativo na reputação e tempo gasto dos funcionários na recuperação – são difíceis e caros de gerenciar.

Patrocinado pela IBM Security e conduzido pelo Instituto Ponemon, o estudo Cost of a Data Breach 2018 concluiu que o custo médio de uma violação de dados global é de US$ 3,86 milhões, um aumento de 6,4% em relação ao relatório de 2017. Com base em entrevistas detalhadas com quase 500 empresas que sofreram uma violação de dados, o estudo analisa centenas de fatores de custos relacionados a uma violação, desde investigações técnicas e recuperação até notificações, atividades legais e regulatórias, custo de perda de negócios e reputação.

Este ano, pela primeira vez, o estudo também calculou os custos associados a “mega violações” que variam de 1 milhão a 50 milhões de registros perdidos, projetando que essas violações custam às empresas entre US$ 40 milhões e US$ 350 milhões, respectivamente.

“Embora as violações de dados divulgadas frequentemente relatem perdas de milhões, esses números são altamente variáveis e o prejuízo vai além do financeiro. A verdade é que há muitas despesas ocultas que devem ser consideradas, como danos à reputação, rotatividade de clientes e custos operacionais. Saber onde estão os custos e como reduzi-los pode ajudar as empresas a investir seus recursos de maneira mais estratégica e reduzir os enormes riscos financeiros em jogo”, comenta o Diretor de Segurança da Informação da IBM Brasil, João Rocha.

Calculando o custo de uma mega violação

Nos últimos cinco anos, a quantidade de mega violações (violações de mais de 1 milhão de registros) quase dobrou – de apenas nove mega violações em 2013, para 16 mega violações em 2017. Com base na análise de 11 empresas que experimentaram uma mega violação nos últimos dois anos, o relatório deste ano usa modelagem estatística para projetar o custo de violações que variam de 1 milhão a 50 milhões de registros comprometidos. As principais conclusões incluem:

• O custo médio de uma violação de dados de 1 milhão de registros comprometidos é de quase US$ 40 milhões de dólares;
• Em 50 milhões de registros, o custo total estimado de uma violação é de US$ 350 milhões de dólares;
• A grande maioria dessas violações (10 de 11) resultou de ataques maliciosos e criminosos (em oposição a falhas no sistema ou erro humano);
• O tempo médio para detectar e conter uma mega violação foi de 365 dias – quase 100 dias a mais do que uma violação de menor escala (266 dias).

O que impacta o custo médio de uma violação de dados?

Nos últimos 13 anos, o Instituto Ponemon examinou o custo associado a violações de dados de menos de 100.000 registros, descobrindo que os custos aumentaram de forma constante ao longo do estudo. O custo médio de uma violação de dados foi de US$ 3,86 milhões no estudo de 2018, em comparação com US$ 3,50 milhões em 2014 – representando um aumento líquido de quase 10% nos últimos 5 anos do estudo.

O estudo também examina fatores que aumentam ou diminuem o custo da violação, descobrindo que os custos são fortemente impactados pela quantidade de tempo gasto contendo uma violação de dados, bem como investimentos em tecnologias que aceleram o tempo de resposta.

• O tempo médio para identificar uma violação de dados no estudo foi de 197 dias, e o tempo médio para conter uma violação de dados, uma vez identificado, foi de 69 dias.
• As empresas que continham uma violação em menos de 30 dias economizaram mais de US$ 1 milhão em comparação às que levaram mais de 30 dias (US$ 3,09 milhões contra US$ 4,25 milhões da média total).

A quantidade de registros perdidos ou roubados também afeta o custo de uma violação, custando US$ 148 por registro perdido ou roubado, em média. O estudo examinou vários fatores que aumentam ou diminuem esse custo:

• Ter uma equipe de resposta a incidentes foi o principal fator de economia de custos, reduzindo o custo em US$ 14 por registro comprometido;
• O uso de uma plataforma de inteligência artificial para segurança cibernética reduziu o custo em US$ 8 por registro perdido ou roubado;

Este ano, pela primeira vez, o relatório examinou o efeito de ferramentas de automação de segurança que usam inteligência artificial, aprendizado de máquina, análise e orquestração para aumentar ou substituir a intervenção humana na identificação e contenção de uma violação. A análise constatou que as organizações que implantaram extensivamente tecnologias de segurança automatizadas economizaram mais de US$ 1,5 milhão no custo total de uma violação (US$ 2,88 milhões, em comparação com US$ 4,43 milhões para aqueles que não implantaram a automação de segurança).

Diferenças Regionais e Industriais

O estudo também comparou o custo das violações de dados em diferentes setores e regiões, descobrindo que as violações de dados são mais caras nos EUA e no Oriente Médio, e menos custosas no Brasil e na Índia.

• Empresas dos EUA tiveram o maior custo médio de uma violação em US$ 7,91 milhões, seguido pelo Oriente Médio em US$ 5,31 milhões.
• O menor custo total de uma violação foi de US$ 1,24 milhão no Brasil, seguido por US$ 1,77 milhão na Índia.

Pelo 8º ano consecutivo, as organizações de saúde tiveram os maiores custos associados a violações de dados – custando US $ 408 por registro perdido ou roubado – quase três vezes mais do que a média entre setores (US$ 148).

“O objetivo da nossa pesquisa é demonstrar o valor de boas práticas de proteção de dados e os fatores que fazem uma diferença tangível no que uma empresa paga para resolver uma violação de dados ”, disse Dr. Larry Ponemon, presidente e fundador do Instituto Ponemon. “Embora os custos de violação de dados tenham aumentado continuamente ao longo da história do estudo, vemos sinais positivos de redução de custos por meio do uso de novas tecnologias, bem como planejamento adequado para resposta a incidentes, o que pode reduzir significativamente esses custos.”

Para explorar e interagir com os resultados do estudo, visite o IBM Security Data Breach Calculator, uma ferramenta interativa que permite manipular dados de relatórios e visualizar o custo de uma violação de dados em locais e setores e entender como diferentes fatores afetam os custos de violação.