Qual é o custo da violação de dados no Brasil?
Lidar com a nova realidade da cibersegurança imposta pela transformação digital ainda se mostra um desafio para muitas empresas
Cada vez mais pessoas e empresas vêm tomando consciência das implicações da nova era em que vivemos, na qual as informações podem valer fortunas. Este é, afinal, o grande motivador do cibercrime.
Porém, como lidar com esta realidade ainda vem se mostrando um desafio para muitas companhias no mercado. Uma pesquisa realizada nos últimos meses pela Fiesp com 261 empresas de todos os portes, identificou que 36% delas já sofreram algum tipo de ataque cibernético. Dentro deste universo, outros 36% confirmaram que os atacantes obtiveram êxito em suas investidas.
No dia a dia, não é incomum nos depararmos com notícias sobre organizações que passaram por dores de cabeça devido a falhas ou vulnerabilidades em seus protocolos de cibersegurança. Neste contexto, um estudo recente da IBM revela que, no Brasil, o custo da violação de dados é de R$ 6.45 milhões por incidente. Um número alto e que tende a seguir crescendo, já que, num mundo cada vez mais informatizado, é natural que as brechas de segurança se tornem cada dia mais caras. Para se ter uma ideia, em 2019, este custo era de R$ 4.4 milhões. Definitivamente, estes não são números quaisquer e justificam o porquê da segurança da informação ter se tornado uma das principais prioridades de negócio das instituições.
Outra revelação deste estudo é que os setores mais impactados são o financeiro, o de serviços e o de saúde, respectivamente. De certa maneira, ver o setor financeiro nesta lista é até esperado, já que é muito regulado, com muito compliance e normas de segurança especificamente aprovadas para o segmento. O que surpreende é que o custo médio de um incidente é praticamente o mesmo para os demais setores, girando na casa dos R$ 6 milhões, o que implica que todas essas empresas são altamente informatizadas e todas têm um impacto similar ao que um banco teria no caso de uma invasão.
Esta pesquisa da IBM mostra que o principal vetor de ataque, ou seja, por onde entrou o invasor, é por má configuração da nuvem. A nuvem é automatizada e muito ágil, mas, ao mesmo tempo, exige um trabalho de compliance ativo, caso contrário suas configurações se constituem numa porta de entrada fácil para os invasores. Um dado que reforça isso é que empresas que não possuem nenhuma maturidade de gestão de segurança na nuvem têm um impacto de R$ 6.71 milhões em uma violação, já aquelas que possuem práticas adequadas tem impacto de R$ 5.5 milhões, porém, a probabilidade deste incidente ocorrer nestas companhias que estão maduras no processo é muito menor.
Credenciais roubadas ou comprometidas ocupam o segundo lugar do ranking de vetores de ataque, reforçando a necessidade de um trabalho bem feito da gestão de identidades e acessos. Hoje, no contexto em que estamos, é inadmissível usuários de acesso altamente privilegiados, como administradores de sistemas e executivos não terem, no mínimo, um duplo fator de autenticação em seus acessos. Da mesma forma, não é aceitável que uma empresa não tenha um processo de gestão de identidades forte, ancorado num software de qualidade, para que uma pessoa que saia da empresa seja descomissionada de todas as aplicações ou, quando deixa de participar de um projeto específico com acessos especiais, perca esses acessos.
O terceiro vetor da lista é o phishing, sobretudo o email, que, atualmente, é uma porta de entrada importante. Há soluções antiphishing e antispam no mercado, mas elas ficaram datas e grande parte das empresas ficaram presas a essas versões 1.0. É importante modernizar o parque de gestão de e-mail.
Quanto aos fatores que poderiam aumentar ou diminuir este custo da brecha de segurança, naturalmente, quem investiu na formação de times de resposta a incidentes consegue reagir mais rápido e conter o incidente na entrada, sem precisar sofrer o dano inteiro e, logicamente, tem um custo menor. Na via oposta, apresentam custos mais altos aqueles que possuem sistemas de segurança complexos, com multimarcas e heterogêneos. Individualmente, as partes trabalham bem, mas coletivamente não.
Sabemos que não haverá uma regressão no processo da transformação digital, sendo assim, é preciso encarar esta questão de frente e, cada vez mais, trabalhar medindo e avançando a maturidade da segurança da informação dentro de seus ambientes. Isto porque esta será uma via muito importante para garantir a longevidade do negócio, sem rombos financeiros e reputações abaladas.
