Relatório sobre o prejuízo de um vazamento de dados – 2022

Quando se trata de desafios operacionais, alguns erros são tão caros quanto as violações de dados. Apenas uma vulnerabilidade explorada pode levar a milhões em danos, não apenas devido à interrupção inicial, mas à perda de respeito dos consumidores e possíveis responsabilidades de conformidade.

Quando se trata de desafios operacionais, alguns erros são tão caros quanto os vazamentos de dados. Apenas uma vulnerabilidade explorada pode levar a milhões em danos, não apenas devido à interrupção inicial, mas à perda de respeito dos consumidores e possíveis responsabilidades de conformidade.

Infelizmente, o custo de uma violação de dados só está aumentando. A IBM Security divulgou seu relatório anual “Custo de uma violação de dados”, realizado pelo Ponemon Institute, que descobriu que o custo de uma violação de dados em 2022 totalizou US$ 4,35 milhões, um aumento de 2,6% em relação ao total de US$ 4,24 milhões do ano passado.

A pesquisa também descobriu que as organizações que foram vítimas de ataques cibernéticos foram o principal alvo de ataques de acompanhamento como parte de um “efeito assustador”, com 83% das organizações estudadas tendo mais de uma violação de dados.

Para as empresas, o relatório destaca que novas abordagens são necessárias para mitigar o impacto das violações de dados, principalmente diante de um número crescente de ataques sofisticados, que nem sempre podem ser evitados.

A realidade hostil do cenário de ameaças

À medida que o custo de uma violação de dados continua a aumentar em meio a um cenário de ameaças de ataques desenfreados de ransomware, de extorsão dupla e tripla e violações relacionadas à identidade, fica cada vez mais claro que as abordagens tradicionais de segurança corporativa precisam ser reavaliadas.

Somente na última semana, a T Mobile e o Twitter descobriram o custo de uma violação de dados em primeira mão, com o primeiro concordando em pagar aos clientes US$ 350 milhões como parte de um acordo pós-violação, e o último tendo que lidar com as consequências negativas após um atacante afirmar ter acessado dados de 5,4 milhões de usuários.

Com o impacto de tais violações causando milhões em danos, muitas organizações decidem repassar os custos aos consumidores, como parte de um imposto cibernético invisível. Na verdade, a IBM descobriu que, para 60% das organizações, as violações levaram a aumentos de preços repassados aos clientes.

“O que mais se destaca na descoberta deste ano é que o impacto financeiro das violações agora está se estendendo muito além das próprias organizações de violação”, disse o chefe de estratégia da IBM Security X-Force, John Hendley.

“O custo está caindo para os consumidores. De fato, se você considerar que duas ou três empresas dentro de uma cadeia de suprimentos podem ter sofrido uma violação e aumentado seus preços, há esse efeito multiplicador que acaba atingindo a carteira do consumidor. Essencialmente, agora estamos começando a ver um “imposto cibernético” oculto que os indivíduos estão pagando como resultado do crescente número de violações que ocorrem hoje, combinados com os efeitos perturbadores mais óbvios dos ataques cibernéticos”, disse Hendley.

Quando perguntado por que o custo das violações de dados continuou a crescer, Hendley explicou que há um grande volume de ataques ocorrendo, mas apenas um número limitado de profissionais de segurança qualificados disponíveis para respondê-los.

Isso é destacado na pesquisa com 62% das organizações dizendo que não tinham pessoal suficiente para atender às suas necessidades de segurança.

Quais são as implicações para CISOs e líderes de segurança

Quando se trata de desafios operacionais, alguns erros são tão caros quanto as violações de dados. Apenas uma vulnerabilidade explorada pode levar a milhões em danos, não apenas devido à interrupção inicial, mas à perda de respeito dos consumidores e possíveis responsabilidades de conformidade.

Embora o relatório destaque o cenário de ameaças mais sombrio, ele também aponta algumas tecnologias e metodologias promissoras que as empresas podem usar para reduzir o custo das violações de dados.

Por exemplo, uma das descobertas mais promissoras foi que as organizações com IA e automação de segurança totalmente implantadas podem esperar pagar US$ 3,05 milhões a menos durante uma violação de dados e, em média, reduzir o tempo para identificar e conter uma violação em 74 dias.

Ao mesmo tempo, as organizações que implementam Zero Trust podem esperar pagar 1 milhão a menos em custos de violação do que aquelas que não o fazem.

Por fim, essas organizações mantêm uma equipe de resposta a incidentes e os planos de RI testados regularmente podem reduzir o custo em US$ 2,66 milhões.

Confira o relatório completo da IBM: Cost of a Data Breach: Report 2022

Centro de Operações de Segurança Clavis (SOC Clavis)

Clavis Segurança da Informação possui soluções capazes de cobrir e tratar tais vulnerabilidades e demais riscos. O Centro de Operações de Segurança da Clavis (SOC) agrega e unifica seus principais serviços e soluções, fornecendo aos clientes uma arquitetura de segurança adaptativa, para identificação de ameaças, alinhada aos pilares de Governança, Risco e Compliance.

Através da combinação de soluções orientadas à dados, incluindo as ferramentas Octopus SIEM e BART, construídas com tecnologia próprias da Clavis, e contando com um time de profissionais altamente especializados, o serviço de SOC fornece à sua organização uma alternativa econômica para detectar e responder a ameaças avançadas, incluindo visibilidade plena sobre a segurança das suas informações, gerenciamento contínuo de vulnerabilidades, gestão e tratamento de incidentes, análise de postura de segurança e Threat Intelligence.

Cada aspecto relacionado a pessoas, processos e tecnologia no serviço de SOC da Clavis  é trabalhado para aumentar o nível de maturidade de segurança da sua organização alinhado às principais leis e normas do mercado, tais como a Lei Geral de Proteção de Dados (LGPD),  ISO 27001, PCI DSS, Resolução 4.893 do Banco Central, entre outras.

DPO as a service

Conheça o serviço de DPO as a service da Clavis. O Encarregado de Proteção de Dados Pessoais como Serviço da Clavis(DPOaaS), permite que a sua empresa possa contar com nosso centro de serviços que é formado por profissionais com experiência prática e comprovada na implementação da Lei Geral de Proteção de Dados (LGPD), na visão de Segurança e Governança da Informação. Dessa forma, a sua empresa foca em seu core business e tem a certeza de que a função será ocupada por uma empresa especialista na área que, com a colaboração do comitê interno de privacidade, irá orientar quanto ao cumprimento da lei.

Conformidade com a LGPD

Com a LGPD em vigor, uma série de medidas de proteção e privacidade dos dados passou a ser obrigatória nos processos corporativos, o que gerou mais maturidade por parte das empresas e cuidado redobrado com as violações, não só no sentido de perdas, mas também na urgência em tratar o tema a fim de estar em conformidade com a legislação.

A Clavis, por meio de seu portfólio de serviços e produtos, consegue auxiliar sua organização para a devida adequação à Lei Geral de Proteção de Dados (LGPD).

Com o modelo desenvolvido, há o auxílio à sua empresa na preparação, organização, e aplicação de controles de segurança, no estabelecimento de estruturas de Governança, bem como na identificação de melhorias e seus respectivos ajustes, cujo propósito é a devida implementação de proteção e privacidade de dados.

Este modelo consiste na implantação de processos e controles técnicos, os quais permitirão um aumento na maturidade em cybersecurity da infraestrutura tecnológica da sua organização. Atualmente, todos os setores são suportados por alguma tecnologia e não podemos ignorá-la achando que somente revendo contratos e leis a empresa estará protegida de uma violação de dados pessoais.

Sistema BART

Através da introdução do Sistema BART, por exemplo, é possível executar um processo prático e eficaz na gerencia de vulnerabilidades, atuando na identificação, na caracterização dos riscos reais ao negócio, no planejamento de correções e no acompanhamento da execução desse trabalho. Para as empresas que usam dados pessoais de clientes e parceiros essa correção é fundamental, pois além de identificar a vulnerabilidade e tratar o risco, minimiza prejuízos financeiros e de imagem.