Estudo: Quanto custa uma violação de dados?

A IBM Security anunciou recentemente as conclusões de um estudo global que analisou o impacto financeiro das violações de dados nos resultados finais das empresas. Em geral, o estudo, realizado em 500 empresas de 15 países, concluiu que os custos ocultos das violações de dados – como a perda de negócio, impacto negativo na reputação da marca e o tempo gasto pelos colaboradores no esforço de recuperação dos dados – são difíceis e muito caros de gerir.

Patrocinado pela IBM Security e conduzido pelo Instituto Ponémon, o estudo “Cost of a Data Breach 2018” concluiu que o custo médio de uma violação de dados global é de 3.86 milhões de dólares, um aumento de 6,4% face ao relatório de 2017.

Com base em entrevistas detalhadas com quase 500 empresas que sofreram uma violação de dados, o estudo analisa centenas de fatores de custos, desde investigações técnicas e recuperação até notificações, atividades legais e regulatórias, custo de perda de negócio e reputação.

Este ano, pela primeira vez, o estudo também calculou os custos associados a “grandes violações” que variam de 1 milhão a 50 milhões de registos perdidos, projetando que essas violações custam às empresas entre 40 milhões e 350 milhões de dólares, respetivamente.

“Embora as violações de dados divulgadas frequentemente relatem perdas na ordem dos milhões, esses números são altamente variáveis e focados em apenas alguns custos específicos que são facilmente quantificáveis, dado que o prejuízo vai além do financeiro," disse Wendi Whitmore, Global Lead for IBM X-Force Incident Response and Intelligence Services (IRIS). "A verdade é que há muitas despesas ocultas que devem ser consideradas, como danos à reputação, rotatividade de clientes e custos operacionais. Saber onde estão estes custos e como reduzi-los pode ajudar as empresas a investir os seus recursos de maneira mais estratégica e reduzir os enormes riscos financeiros que estão em jogo.” 

Como calcular o custo de uma grande violação?

Nos últimos cinco anos, o número de grandes violações (violações com mais de 1 milhão de registos) quase duplicou – de nove grandes violações em 2013, para 16 grandes violações em 2017. Com base na análise a 11 empresas que sofreram uma "grande violação" nos últimos dois anos, o relatório deste ano utiliza modelos estatísticos para projetar o custo das violações que varia de 1 milhão a 50 milhões de registos comprometidos.

As principais conclusões referem:

• O custo médio de uma violação de dados de 1 milhão de registos comprometidos é de quase 40 milhões de dólares;
• Na casa dos 50 milhões de registos, o custo total estimado de uma violação é de 350 milhões de dólares;
• A grande maioria dessas violações (10 de 11) resultou de ataques maliciosos e criminosos (em oposição a falhas no sistema ou erro humano);
• O tempo médio para detetar e conter uma "grande violação" foi de 365 dias – quase 100 dias a mais do que uma violação de menor escala (266 dias).

O que impacta a média de custo de uma violação de dados?

Nos últimos 13 anos, o Instituto Ponemon analisou o custo associado a violações de dados com menos de 100.000 registos, concluindo que os custos aumentaram de forma constante ao longo do tempo. O custo médio de uma violação de dados foi de 3,86 milhões de dólares no estudo deste ano, em comparação com 3,50 milhões em 2014 – representando um aumento líquido de quase 10% nos últimos 5 anos.

O estudo também analisa fatores que aumentam ou diminuem o custo destas falhas, descobrindo que estes são fortemente impactados pela quantidade de tempo gasto a conter uma violação de dados, bem como investimentos em tecnologias que aceleram o tempo de resposta.

• O tempo médio para identificar uma violação de dados no estudo foi de 197 dias, e o tempo médio para conter uma violação de dados, uma vez identificada, foi de 69 dias.
• As empresas que conseguiram conter uma violação em menos de 30 dias pouparam mais de 1 milhão de dólares comparado com aquelas que levaram mais tempo.

A quantidade de registos perdidos ou roubados também afeta o custo de uma violação, numa média de 148 dólares por registo perdido ou roubado. O estudo analisou vários fatores que aumentam ou diminuem esse custo:

• Ter uma equipa de resposta a incidentes foi o principal fator de poupança nos custos, reduzindo em 14 dólares por registo comprometido;
• O uso de uma plataforma de inteligência artificial na área da cibersegurança reduziu o custo em 8 dólares por registo perdido ou roubado;

Este ano, pela primeira vez, o relatório analisou o impacto que as ferramentas de automação de segurança, com recurso a inteligência artificial, machine learning, analítica avançada e outras formas de aumentar ou substituir a intervenção humana, têm na identificação e contenção de uma violação.

Concluiu-se que as empresas que implementaram extensivamente ferramentas de automação de segurança economizaram mais de 1,5 milhões de dólares no custo total de uma violação, em comparação com aquelas que não as utilizaram.