Existe uma correlação entre a maneira como uma violação de dados é divulgada e o prejuízo financeiro total que a organização envolvida sofre após um incidente de cibersegurança. De acordo com o novo relatório da Kaspersky, “Como as empresas podem minimizar o custo de uma violação de dados”, as pequenas e médias empresas (PMEs) que decidem informar uma violação voluntariamente aos públicos interessados têm, em média, perdas 40% menores se comparadas àquelas que tiveram incidentes vazados pela imprensa. Esta mesma tendência também foi observada entre as grandes corporações.
Não informar o público de forma rápida e adequada sobre uma violação de dados pode agravar as consequências do incidente em termos financeiros e de reputação. Alguns casos famosos foram o da Yahoo!, que foi multada e recebeu críticas por não avisar seus investidores sobre a violação de dados sofrida, e a multa sobre o Uber por encobrir um incidente.
A conclusão da Kaspersky foi baseada em uma pesquisa global com mais de 5.200 profissionais de TI e cibersegurança – sendo mais de 300 participantes baseados na América Latina. A pesquisa estimou que, na região latino-americana, os custos para uma PME que avisa proativamente sobre uma violação somem US$ 93 mil, enquanto empresas semelhantes que tiveram o incidente informado pela imprensa sofreram prejuízo de US$ 163 mil. O mesmo ocorre no caso de grandes corporações: quem informou o público voluntariamente registrou perda de US$ 878 mil, contra prejuízo de US$ 1,359 milhão das organizações que tiveram o incidente revelado pela imprensa.
Cerca de duas em cada cinco empresas (42%) que sofreram uma violação de dados decidiu revelá-la de maneira proativa e 31% delas preferiram não as divulgar. Mais de um quarto (27%) das empresas tentaram ocultar o incidente, mas ele vazou para a imprensa. Embora tenham sido relatadas perdas menores quando as empresas conseguem esconder o incidente, essa abordagem está longe do ideal. Além disso, caso o vazamento seja exposto posteriormente contra a vontade da organização, os prejuízos serão maiores.
A pesquisa mostrou ainda que os riscos são especialmente grandes para empresas incapazes de detectar um ataque imediatamente: 19% das PMEs que levaram mais de uma semana para identificar que sofreram uma violação descobriram por meio da imprensa, porcentagem quase duas vezes maior do que a das que detectaram a violação quase imediatamente (30%). No caso das grandes corporações, o risco é o mesmo, com 50% e 50% em ambos os casos.
“As empresas latino-americanas não costumavam avisar seus clientes sobre um incidente de segurança, porém, este cenário já mudou. A pesquisa mostra que 41% das empresas da região já decidem divulgar o vazamento para mitigar o impacto em sua reputação e 50% por políticas internas e fatores éticos. A obrigação por meio de uma regulação aparece com 47%. Minha leitura frente a este cenário é, no Brasil, que a Lei Geral de Proteção de Dados já fez efeito e o cliente final é quem mais se beneficia com isso. Se a empresa tratar o consumidor com responsabilidade, há mais chance de ele continuar confiando nela. Portanto, além de ressaltar a importância de ser transparente com o cliente, recomendo ainda que as organizações aproveitem este momento para educar e orientar as pessoas sobre as medidas de segurança necessárias para mantê-las protegidas”, afirma Roberto Rebouças, gerente-executivo da Kaspersky no Brasil.
A Kaspersky recomenda ainda:
• Para a detecção, investigação, busca proativa de ameaças e rápida resposta a ameaças avançadas em nível de endpoints, implementar soluções de EDR, como o Kaspersky Endpoint Detection and Response. Empresas menores com experiência em cibersegurança limitada podem tirar proveito do Kaspersky EDR Optimum, que oferece funcionalidades básicas de EDR, inclusive melhor visibilidade dos endpoints, análise simplificada de causas básicas e uma opção de resposta automatizada.
• Além da proteção de endpoints, as grandes corporações devem implementar uma solução de segurança de nível corporativo, capaz de detectar ameaças avançadas na rede, aprimorada com inteligência de ameaças, como a Kaspersky Anti Targeted Attack Platform. Ela ajuda a proteger de cibercriminosos profissionais que preferem uma abordagem multivetorial e muitas vezes combinam técnicas diferentes em um único ataque planejado.
• Para reagir rapidamente a um ataque cibernético, mobilizar a equipe interna de resposta a incidentes, que seria a primeira linha de resposta, e direcionar os incidentes mais complexos para especialistas terceirizados.
• Oferecer treinamentos de conscientização para os funcionários, para que eles saibam reconhecer um incidente de cibersegurança e o que devem fazer ao detectá-lo, inclusive avisar imediatamente o departamento de segurança de TI da empresa.
• Avaliar a possibilidade de realizar um treinamento especial para todas as partes que cuidarão das consequência de uma violação de dados, inclusive especialistas em comunicação e o chefe de segurança de TI, como o Kaspersky Incident Communications.
