A importância de compreender o custo de uma violação de dados é primordial para organizações de todos os tipos. As invasões de redes de TI corporativas tornaram-se um fenômeno diário e uma grande preocupação para os oficiais de conformidade. Estes profissionais estão constantemente buscando formas mais eficazes de prevenir ou recuperar-se de tais violações. A complexidade de calcular o custo de uma violação de dados é evidenciada pela diversidade de elementos envolvidos.

O custo médio de uma violação de dados, segundo o relatório da IBM de 2023, é de $4,45 milhões. Este número representa um aumento de 2,3% em relação a 2022 e um salto de 27% em comparação com uma década atrás, quando o custo médio era de $3,5 milhões. Este aumento reflete a crescente complexidade e impacto das violações de dados nas organizações modernas.

Contudo, conhecer esses números médios não é suficiente para oficiais de conformidade e gestores de risco. É essencial calcular os custos potenciais para a própria organização, permitindo o desenvolvimento de medidas de conformidade baseadas em risco para reduzir esses custos. Este cálculo envolve a compreensão de vários componentes de custo associados a uma violação de dados.

Os custos podem ser categorizados da seguinte forma:

• Custos Financeiros Diretos: Estes são custos imediatos e tangíveis como notificações a indivíduos afetados, fornecimento de serviços de monitoramento de crédito, multas regulatórias, custos de investigação e remediação, e despesas de relações públicas em casos de violações particularmente públicas.
• Custos Indiretos: Incluem despesas ou perdas de receita que não são imediatamente aparentes, como tempo de inatividade do sistema que impede os funcionários de trabalhar, ou perda de clientes que impacta as receitas futuras. Estes custos podem ser estimados em colaboração com departamentos como vendas e recursos humanos para modelar as receitas ou custos que surgem das operações normais dessas funções.
• Custos Operacionais: Envolve custos como forense de TI para determinar a causa da violação, esforços de resposta a incidentes, e medidas de restauração de TI. Estes custos podem ser uma mistura de custos diretos e indiretos, dependendo se equipes externas são contratadas ou se funcionários internos são realocados de suas funções regulares para auxiliar na resposta à violação.
• Custos de Reputação: Estes custos são difíceis de calcular e surgem do dano à reputação da empresa após uma violação. Podem incluir custos mais altos de aquisição de clientes, aumento da rotatividade de clientes, taxas de sucesso de vendas mais baixas e, nos piores cenários, a perda de parceiros de negócios críticos.
• Custos de Longo Prazo: Abrangem despesas como prêmios de seguro mais altos, taxas de auditoria aumentadas, monitores de conformidade e maiores investimentos em cibersegurança. Alguns desses custos são claros, enquanto outros estão ocultos dentro de custos "naturais", como auditorias anuais que agora exigem mais evidências ou testes.

Para calcular o custo de uma violação de dados, é necessário realizar uma análise completa de cada um desses elementos. Isso geralmente envolve uma colaboração estreita entre o CISO e as equipes de finanças, jurídico, contabilidade, vendas e recursos humanos da organização. Uma estratégia prudente é desenvolver um processo para estimar o custo de uma violação antes que ela ocorra, incluindo exercícios de simulação para identificar quais partes da empresa seriam envolvidas na resolução do dano.

Além disso, um entendimento detalhado dos custos ajuda na avaliação e mitigação de riscos. Quando se sabe que certos eventos cibernéticos são mais caros que outros (por exemplo, um ataque de ransomware que paralisa um centro de atendimento ao cliente versus um roubo de dados de clientes), é possível priorizar as proteções contra ameaças mais onerosas. Isso permite que o programa de conformidade aloque recursos de forma mais eficaz para mitigar esses riscos.

Com informações de Hyperproff.