Uma pesquisa global com mais de 5.500 empresas de 26 países, incluindo o Brasil, realizada em 2015 pela Kaspersky Lab e em colaboração com a B2B International mostrou que os tipos de violações de segurança mais onerosas para as empresas são as fraudes envolvendo funcionários, espionagem virtual, invasão da rede e falhas em fornecedores externos. O custo estimado necessário para a recuperação de uma violação de segurança é de US$ 551 mil para grandes corporações e de US$ 38 mil para pequenas e médias empresas.
Uma violação grave dos sistemas de segurança de TI causa muitos problemas às empresas. Com danos tão diversificados, às vezes é difícil para a própria vítima fazer uma estimativa do custo total. Os métodos usados na pesquisa se basearam nos dados de anos anteriores, identificando as áreas nas quais as empresas precisaram investir após um incidente de segurança ou onde perderam dinheiro por causa dele. Normalmente, as empresas gastam mais em serviços profissionais (como especialistas em TI externos, advogados, consultores, etc.) e deixam de lucrar devido à perda de oportunidades de negócios e ao tempo de inatividade.
As consequências de cada violação também variam e devem ser consideradas levando em conta o tamanho da empresa. Um método semelhante foi usado para estimar os gastos indiretos: o orçamento que as empresas reservam após a recuperação, e que ainda está relacionado com o incidente de segurança. Além dos números mencionados acima, em geral, as empresas gastam de US$ 8 mil (PMEs) a US$ 69 mil (grandes corporações) com profissionais, treinamento e atualizações da infraestrutura.
Gasto médio de uma violação em uma empresa:
* Serviços profissionais (TI, gestão de riscos, advogados): até US$ 84 mil com a probabilidade de 88% de ele ser necessário.
* Oportunidades de negócios perdidas: até US$ 203 mil, 29% de probabilidade.
* Tempo de inatividade: até US$ 1,4 milhões e probabilidade de 30%.
* Média total: US$ 551.000.
* Gastos indiretos: até US$ 69 mil.
* Incluindo danos à reputação: até US$ 204.750.
PMEs e grandes corporações: prejuízos diferentes
Nove em cada dez empresas que participaram da pesquisa relataram pelo menos um incidente de segurança. No entanto, nem todos foram graves e/ou levaram à perda de dados sigilosos. As causas mais frequentes de uma falha de segurança grave são ataques de malware, phishing, vazamentos de dados por funcionários e exploração de softwares vulneráveis. Essa estimativa de custo dá uma nova visão sobre a gravidade dos incidentes de segurança e as perspectivas para PMEs e grandes corporações são ligeiramente diferentes.
Grandes empresas pagam um preço substancialmente maior quando o problema de segurança é resultado de uma falha de terceiros. Outras violações onerosas incluem fraudes com o envolvimento de funcionários, espionagem virtual e invasão da rede. As PMEs tendem a perder bastante dinheiro em quase todos os tipos de violação, pagando um preço proporcionalmente alto para se recuperar de atos de espionagem, bem como de ataques DDoS e de phishing.
“Não conseguimos muitos relatórios sobre as consequências das violações de segurança de TI que estimassem as perdas em termos financeiros. É difícil chegar a um método confiável para calcular a média, mas percebemos que isso era necessário para conseguir vincular a teoria do panorama das ameaças corporativas com a prática de negócios. Como resultado, temos uma lista de ameaças corporativas que causaram os danos mais significativos – aqueles nos quais acreditamos que as empresas devem prestar a máxima atenção”, destaca Brian Burke, chefe da equipe de inteligência de mercado da Kaspersky Lab.
Para baixar o relatório completo sobre o custo das violações de segurança, clique aqui.