De acordo com um novo estudo global da IBM Security, 60% das organizações aumentaram os preços de seus produtos ou serviços devido a um vazamento de dados. No Brasil, não é diferente, sendo que os custos de violação de dados aumentaram quase 10% nos últimos dois anos e hoje custa, em média, R$ 6,45 milhões por ataque. Este é o maior custo da história do relatório para as organizações pesquisadas.
Outro dado da pesquisa mostra que o tempo médio para identificar e conter uma violação de dados foi de 347 dias em 2022, uma redução de 49 dias em relação ao ano anterior. Empresas com ciclo de vida de violação superior a 200 dias têm um custo médio superior a R$ 7,71 milhões em comparação com aquelas com menos de 200 dias: R$ 5,19 milhões.
LEIA MAIS: Quais foram as principais ameaças de cibersegurança em 2021?
Adotar o zero trust também ajuda a diminuir o custo médio de violação de dados, já que aqueles que não adotaram essa estratégia enfrentam custos médios de violação de dados de R$ 6,69 milhões, superiores ao custo médio do País.
Além disso, no Brasil, a configuração incorreta de nuvem é o vetor mais comum (18%), com custo médio de R$ 5,98 milhões. Seguido por credenciais comprometidas (16%) com R$ 6,90 milhões e phishing (15%), com R$ 6,73 milhões. Do ponto de vista do maior custo médio por tipo de vetor, a vulnerabilidade em software de terceiros aparece com R$ 7,52 milhões, com frequência de 11% nas violações estudadas.
Custo de violação
Três fatores principais que amplificam o custo de uma violação de dados: complexidade do sistema de segurança, falta de habilidades de segurança e falhas de conformidade. Por outro lado, os três principais fatores mitigadores de custos são formação da equipe de Resposta a Incidentes, participação no compartilhamento de ameaças e implementação de uma plataforma de IA.
Pelo 12º ano consecutivo, os participantes da área de saúde obtiveram as violações mais caras entre os setores em todo o mundo. No Brasil, os setores com maior custo de violação de dados por registro são serviços financeiros (R$ 654), serviços (R$ 650) e saúde (R$ 600).
As vítimas de ransomware no estudo que optaram por pagar as demandas de resgate tiveram apenas uma redução de US$ 630 mil no custo médio da violação em comparação com aquelas que optaram por não pagar – sem incluir o custo do resgate.
Considerando o alto custo dos pagamentos de resgate (superiores a US? 800 mil), o custo financeiro pode aumentar ainda mais, sugerindo que simplesmente pagar o resgate pode não ser uma estratégia eficaz. Ao mesmo tempo, ela inadvertidamente financia futuros ataques de ransomware com capital que pode ser alocado aos esforços de remediação e recuperação e analisando possíveis crimes federais.
Riscos que empresas estão correndo
Globalmente, 43% das organizações afirmaram que estão apenas nos estágios iniciais ou não começaram a implementar práticas de segurança para proteger seus ambientes de nuvem. No Brasil, as empresas com maior maturidade na segurança em um ambiente de nuvem economizaram R$ 1,16 milhão em comparação com aquelas que não começaram a implementar práticas de segurança em seus ambientes de nuvem.
As empresas brasileiras com uma abordagem de nuvem híbrida conseguiram identificar e conter violações de dados 52 dias mais rápido do que a média do país (295 dias no total). Essas organizações também exigiram menos tempo para identificar e conter uma violação em comparação com aquelas com modelo de nuvem exclusivamente privada (41 dias a menos) e pública (68 dias a menos).
No entanto, apenas um quarto das empresas no Brasil possuem automação de segurança totalmente implementada, essencial para redução de custos. Globalmente, as organizações que implementaram segurança com automação e inteligência artificial (IA) tiveram um custo médio menor e alcançaram uma economia de 65,2% em comparação com aquelas que não o fizeram – a maior economia de custos observada no estudo. Além disso, seu tempo de detecção e contenção é melhor: 2,5 meses mais rápido.
O relatório “Cost of a Data Breach 2022” é patrocinado pela IBM Security e conduzido pelo Ponemon Institute. Ele é baseado em uma análise aprofundada de violações de dados reais enfrentadas por 550 organizações em todo o mundo, incluindo 43 empresas no Brasil, entre março de 2021 e março de 2022.