Os custos de violação de dados continuam a crescer, de acordo com uma nova pesquisa publicada pela IBM Security, atingindo uma média global recorde de US$ 4,45 milhões, representando um aumento de 15% em três anos. Os custos no setor de saúde continuaram no topo das paradas, como o setor mais caro pelo 13º ano consecutivo. No entanto, como os custos de violação continuam a subir, a pesquisa aponta para novas oportunidades para conter os custos de violação.
A pesquisa, conduzida de forma independente pelo Ponemon Institute constitui o 18º relatório anual de custo de violação de dados. Um dos principais estudos de referência no setor de segurança, o relatório foi desenvolvido para ajudar os líderes de TI, gerenciamento de riscos e segurança a identificar lacunas em sua postura de segurança e descobrir quais medidas são mais bem-sucedidas em minimizar os danos financeiros e à reputação de uma violação de dados dispendiosa.
A edição de 2023 do relatório extrai análises de uma coleção de violações de dados do mundo real em 553 organizações, com milhares de indivíduos entrevistados e centenas de fatores de custo analisados para criar as conclusões do relatório. (As violações estudadas ocorreram entre março de 2022 e março de 2023, portanto, as menções de anos nesta postagem referem-se ao ano do estudo, não necessariamente ao ano da violação.)
Descobertas do relatório Cost of a Data Breach
Abaixo estão algumas das principais descobertas do relatório Custo de uma violação de dados de 2023:
IA de segurança e automação, uma abordagem DevSecOps e resposta a incidentes (IR)planos lideraram o caminho em economia de custos. Algumas das ferramentas e processos de segurança mais eficazes ajudaram a reduzir os custos médios de violação em milhões de dólares, liderados por IA de segurança e automação. Aqueles que usaram IA de segurança e automação extensivamente economizaram uma média de US$ 1,76 milhão em comparação com aqueles que usaram pouco ou nenhum uso. Enquanto isso, as organizações do estudo que tinham abordagens robustas para planejamento e processos de segurança proativos também colheram grandes benefícios. O uso de alto nível de uma abordagem DevSecOps (uma metodologia para integrar a segurança no ciclo de desenvolvimento de software) economizou às organizações uma média de US$ 1,68 milhão. E o uso de alto nível de planejamento de resposta a incidentes (IR) e teste do plano de IR também foi vantajoso, levando a custos reduzidos de US$ 1,49 milhão em média.
AI e ASM aceleraram a identificação e contenção de violações. As organizações com uso extensivo de IA de segurança e automação detectaram e contiveram um incidente em média 108 dias mais rápido do que as organizações que não usaram IA de segurança e automação. Além disso, os ASMs, soluções que ajudam as organizações a ver o ponto de vista do invasor ao encontrar pontos fracos de segurança, ajudaram a reduzir o tempo de resposta em uma média de 83 dias em comparação com aqueles sem um ASM.
Os custos eram altos e as brechas demoravam mais para serem contidas quando os dados eram armazenados em vários ambientes. Os dados armazenados na nuvem representaram 82% de todas as violações de dados, com apenas 18% das violações envolvendo apenas armazenamento de dados no local. 39% das violações de dados no estudo envolveram dados armazenados em vários ambientes, o que foi mais caro e difícil de conter do que outros tipos de violação. Demorou 292 dias, ou 15 dias a mais do que a média global, para conter uma violação em vários ambientes. Os dados armazenados em vários ambientes também contribuíram para cerca de US$ 750.000 a mais em custos médios de violação.
Organizações com equipes internas que identificaram a violação se saíram muito melhor em conter o custo. Apenas 33% das violações no estudo foram identificadas pelas ferramentas e equipes internas da organização, enquanto terceiros neutros, como a aplicação da lei, identificaram 40% das violações e os 27% restantes foram divulgados pelos invasores, como em um ataque de ransomware. No entanto, as organizações que identificaram violações internamente economizaram em média US$ 1 milhão em comparação com as violações divulgadas pelos invasores. Os investimentos em segurança foram liderados pelo planejamento e teste de IR, treinamento de funcionários e detecção de ameaças e ferramentas de resposta. Embora apenas 51% das organizações tenham dito que aumentaram os investimentos em segurança após a violação, aquelas que aumentaram o investimento se concentraram em áreas que eram eficazes em conter os custos da violação de dados, para um ROI significativo, de acordo com o estudo. 50% dessas organizações planejam investir em planejamento e teste de RI; 46% em treinamento de funcionários; e 38% em ferramentas de detecção e resposta a ameaças, como um SIEM.
Opinião
"O aumento do custo médio de um incidente de segurança, em grande parte, é fruto do ganho de maturidade da sociedade em relação aos temas de segurança da informação e proteção de dados. Com as pessoas se importando mais com esses temas, as organizações acabam gastando mais para contornar possíveis danos reputacionais.
Nesse sentido, como o aumento do número de casos de incidentes de segurança parece uma tendência que não mostra sinais de diminuição, a prevenção continua sendo a melhor aliada das organizações. Investir em treinamentos, políticas atualizadas, ferramentas de segurança, consultorias especializadas, dentre outros, pode ser a chave para evitar situações críticas,", diz Pedro Sanches, sócio do escritório Prado Vidigal Advogados.
Matheus Puppe, sócio da área de TMT, Privacidade & Proteção de Dados do Maneira Advogados, ressalta que "o salto nos custos verificado nos últimos anos, ressalta o fato de que as violações de dados não são mais simples incidentes isolados. Elas evoluíram para cenários complexos que exigem investigações mais detalhadas e esforços coordenados para solucioná-los. Esta mudança sugere que, enquanto as ameaças cibernéticas se tornam mais sofisticadas, a capacidade de detecção e resposta das empresas também precisa evoluir.
No entanto, talvez o dado mais preocupante desse relatório seja como as empresas reagem a essas violações. Embora a lógica dite que o aumento da frequência e dos custos das violações deveria levar a maiores investimentos em segurança, muitas empresas estão, em vez disso, optando por repassar esses custos aos consumidores. Isso não só indica uma abordagem reativa em vez de proativa, mas também sugere que o consumidor, mais uma vez, é quem paga a conta dos erros corporativos. Como advogado de direito digital, acredito que precisamos de um quadro regulatório mais robusto que incentive as empresas a investir proativamente em segurança, garantindo que a proteção de dados dos consumidores seja priorizada. O repasse de custos para os consumidores não pode ser a solução padrão para erros de segurança corporativos. As empresas devem ser responsabilizadas por garantir que seus sistemas sejam seguros e, se não forem, por absorver os custos associados, em vez de passá-los adiante. No mais, temos que começar a falar sobre a responsabilidade criminal pela negligência ou imperícia do CTO (Chefe de Tecnologia), assim como ocorre com os contabilistas hoje no Brasil."