Dificilmente passa uma semana sem notícias relacionadas a violações de dados. Nos últimos meses, vimos um enorme roubo de dados na Bulgária, outro de um banco canadense e de uma universidade britânica. Também vimos o resultado de duas das violações de dados mais notórias do ano passado, quando a British Airways e a Marriott receberam multas de milhões de libras esterlinas das autoridades de proteção de dados.
Quanto custa uma violação de dados pessoais?
O Ponemon Institute acaba de publicar seu Relatório anual de custos de violação de dados, que revela o custo médio de uma violação de dados, bem como os fatores que podem influenciar esse custo. Este ano, o custo de uma empresa que sofre uma violação de dados aumentou novamente. Agora, custa em média US $ 3,92 milhões (R$ 16.366 milhões). O tamanho médio de uma violação de dados é de 25.575 registros e o custo médio por registro é de US $ 150 (R$ 627,86). Mas que fatores influenciam essas perdas econômicas?
De acordo com o Ponemon Institute, 36% do custo de uma violação de dados vem da perda de negócios decorrente da perda de confiança do cliente após um ciberincidente. Isso equivale a US $ 1,44 milhão. Além disso, quanto mais clientes são perdidos, mais os custos de violação. Uma empresa que perde menos de 1% de seus clientes gasta US $ 2,8 milhões em uma violação de dados. Se a empresa perder mais de 4% de seus clientes, no entanto, a violação poderá custar até US $ 5,7 milhões, 45% a mais do que a média.
Um problema duradouro
O relatório destaca o fato de que os efeitos de uma violação de dados são sentidos durante anos após o incidente inicial. 67% dos custos de violação ocorrem no primeiro ano, 22% no segundo ano e 11% três anos após o incidente. Este ano, vimos um exemplo claro disso no caso da Equifax, que ainda está sentindo os efeitos econômicos dois anos após sua violação maciça.
O ciclo de vida de uma violação de dados – o tempo entre a violação e a contenção – cresceu 4,9% este ano. O tempo médio para identificar uma violação é de 206 dias e o tempo para contê-la é de 73 dias. Talvez não seja surpreendente que quanto mais cedo uma violação for contida, menos ela custará. Uma violação com um ciclo de vida inferior a 200 dias custa US $ 3,34 milhões, enquanto uma violação com um ciclo de vida superior a 200 dias custa US $ 2,56 milhões.
As causas da violação têm efeito
As violações causadas por um ataque cibernético malicioso não são apenas as mais comuns, mas também as mais caras. 51% dos incidentes são causados por um ataque malicioso e leva 12,5% mais tempo para conter uma violação desse tipo. Essa é uma das razões do fato de que uma violação causada por um ataque mal-intencionado custa até 27% mais do que uma causada por erro humano (US $ 4,45 milhões contra US $ 3,5 milhões).
Geografia e setor também afetam o custo de uma violação de dados. O país com os custos mais altos são os Estados Unidos, onde os custos médios são de US $ 8,19 milhões, ou US $ 242 por registro. O setor com os custos mais altos é saúde: US $ 6,44 milhões por uma violação e US $ 429 por registro.
Existem fatores que reduzem o custo
Apesar de tudo isso, existem certas ações que as empresas podem adotar para reduzir os custos decorrentes de uma violação de dados. Essas ações incluem o uso extensivo da criptografia – algo que pode economizar até US $ 360.000 – e a integração da segurança no processo de desenvolvimento de software (os chamados DevSecOps).
Outro fator que pode reduzir drasticamente o custo de uma violação de dados é ter uma equipe de resposta a incidentes com um plano de resposta a incidentes bem testado. De fato, a combinação desses dois fatores pode reduzir o custo de uma violação de dados em até US $ 1,23 milhão.
Reduza os riscos em sua empresa
Onde quer que você esteja e em qualquer setor em que trabalhe, os custos de uma violação de dados são uma despesa que toda empresa deseja evitar. E o dano vai além do financiamento: a reputação de uma empresa também pode sofrer muito após uma violação de dados.
Para impedir que sua empresa sofra esses danos, é essencial que você tenha controle rigoroso sobre os dados pessoais que manipula. É por isso que o Panda Adaptive Defense possui um módulo adicional, o Panda Data Control.
Este módulo descobre e audita todos os dados pessoais não estruturados nos pontos de extremidade da sua empresa. Ele também gera relatórios e alertas em tempo real sobre o uso não autorizado de dados, para evitar acessos indevidos e para ajudá-lo a implementar medidas proativas de operação e acesso em sua empresa.
A chance de sofrer uma violação de dados nos próximos dois anos é de 27,9%. Com o Panda Data Control, você pode reduzir significativamente esse risco.