A IBM Security apresentou hoje (1) um webinar para divulgar as descobertas mais importantes do estudo “Cost of a Data Breach Report 2023”. Quase metade das companhias entrevistadas (49%) disseram não se dispor a aumentar seus gastos com Cibersegurança mesmo após um vazamento confirmado e 57% estão mais propensas a repassar os custos dos incidentes para os consumidores, aumentando os custos de produtos e serviços.
“Durante algum tempo, esse gasto foi amplamente gerenciado a partir da dependência em seguros Cyber, mas com as seguradoras começando a limitar a cobertura de suas apólices e cobrando mais controles sobre os dados, além de aumentarem seus preços. Portanto, uma solução que era bastante usada pelas companhias está deixando de ser viável”, disse Troy Bettencourt, Head of Incident Response na X-Force, durante webinar com a imprensa.
Embora a lógica dite que o aumento da frequência e dos custos das violações deveria levar a maiores investimentos em Segurança, muitas empresas estão, em vez disso, optando por transferir os custos. “Começamos a notar essa tendência desde o nosso reporte do ano passado”, disse John Hendley, Head of Strategy da X-Force.
Segundo a pesquisa, os custos médios de um vazamento de dados alcançaram a marca de 4,45 milhões de dólares, representando um crescimento de 15% desde 2020. A América Latina também foi a região com o aumento mais agudo nos gastos médios, contando 890 mil dólares a mais de prejuízo. Mesmo assim, o mercado ainda se mostra indeciso sobre a melhor forma de enfrentar os custos envolvendo vazamento de dados.
Hendley ainda ressaltou a dificuldade de se quantificar os impactos positivos de um sistema de Segurança robusto. Por isso a importância de um estudo dos custos sobre vazamentos de dados, de acordo com ele, pois assim os líderes de SI terão mais recursos para convencer board executives e outros C-Levels do quanto do orçamento pode ser economizado através dos cuidados certos com os ambientes digitais.
“Infelizmente, ainda é muito difícil as companhias gastarem valores muito altos em coisas que, supostamente, não darão retorno visível aos orçamentos. No caso de cibersegurança, o melhor que se pode fazer é demonstrar o quanto esses investimentos estão sendo importantes para evitar prejuízos bem maiores em caso de perda de dados sensíveis”, explicou o Head de Estratégia.
Riscos maiores sem as autoridades
A pesquisa ainda trouxe outro fato alarmante. 37% das organizações estudadas continuam apreensivas em envolver as autoridades policiais durante um incidente, devido à percepção errônea de que isso apenas geraria mais complicações. Todavia, o reporte demonstra que agir sem a cooperação das autoridades competentes pode dificultar uma crise já grave.
Isso porque as organizações que não envolveram a aplicação da lei tiveram violações com ciclos de vida 33 dias mais longos, em média, em comparação às corporações mais transparentes. Além disso, os casos sem envolvimento das autoridades geraram custos US$ 470.000 mais altos.
“Esse trabalho de aproximação precisa ser feito antes de qualquer incidente”, aponta Hendley. “Essa parceria entre público e privado deve ser feita com autoridades locais das empresas, de forma a conseguir esse apoio durante a recuperação e investigação. Nesse caso, criar linhas diretas de contato com bases policiais de proteção de dados para notificá-las antes mesmo de um incidente de fato tenha se confirmado”.
O estudo questionou 553 empresas impactadas por comprometimento de informações entre março de 2022 e 2023. As organizações têm origem em 16 países diferentes e em 17 verticais de negócio.
