Junte-se a nós ao longo deste pequeno artigo onde tentaremos descobrir qual é o custo real de não investir em segurança.
Todos os anos surgem inúmeros relatórios que nos revelam quão complicado é o panorama da segurança, e todos os anos podemos ver como o panorama piora. Este ano, a IBM lançou o “Relatório de custo de uma violação de dados de 2023” onde, entre outras coisas, se afirma que “O custo médio global de uma violação de dados em 2023 alcançou um máximo histórico de 4,45 milhões de dólares, um aumento de 15% ao longo de 3 anos”. Isto marca, como dissemos, uma clara tendência ascendente com custos extremamente elevados.
Segundo este mesmo relatório, 51% das organizações planeiam aumentar os investimentos em segurança como consequência da situação de insegurança global a que estamos sujeitos.
Este relatório, como tantos outros, está repleto de dados que nos dizem que a situação é realmente complicada e não se preveem melhoras. Ok, mas aqui estamos a falar de dados macroeconómicos e de grandes empresas, o que acaba por não ter grande interesse para as pequenas empresas e empresários.
Assim, vamos esquecer os dados e falar sobre o custo real de não investir em segurança. Em resumo, vamos ver quais são os pontos de impacto que surgem da falta de atenção devida à segurança.
Na Jotelulu analisámos diversos relatórios, documentos e sites para tentar definir os domínios em que estes descuidos afetam a maioria das empresas:
- Violações de segurança de dados.
- Custos legais.
- Danos reputacionais.
- Perda de receitas.
- Custos de recuperação.
A seguir, vamos olhar para cada um destes problemas com um pouco mais de profundidade.
Violações de segurança de dados:
Neste ponto, poderíamos separar as violações de segurança das violações de dados, porque estas nem sempre estão interligadas – existem violações de segurança de diferentes tipos e com efeitos muito diferentes. No entanto, vamos unificá-las para manter a informação mais resumida.
Existem violações de segurança que expõem informações confidenciais a criminosos, que as expõem ao público em geral ou que as utilizam para outros usos fraudulentos, como a sua venda a diversos players cujo interesse pode ser tão diverso como a obtenção de informações sobre patentes e designs ou apenas para poder usar os dados de clientes.
Dentro desta categoria temos formas de ataque tão diferentes como a fuga de dados e os sequestros de dados através de ransomware, por exemplo. As medidas de proteção, por sua vez, são bem diferentes, pois contra uma fuga existe, por exemplo, a DLP (Data Loss Prevention), mas contra ransomware o mais eficaz é ter uma boa gestão de cópias de backup.
Seja como for, deve ficar claro que, em caso de violação de dados, devem ser seguidos três passos simples, mas extremamente importantes:
- Investigar a violação de dados e o seu scope.
- Notificar a autoridade competente sobre o tipo e extensão da violação.
- Notificar os clientes potencialmente afetados.
NOTA: A CNPD deve ser notificada no prazo máximo de 72 horas a partir do conhecimento de uma violação de dados que constitua risco para os direitos e liberdades das pessoas singulares.
Custos legais:
Atualmente, a legislação europeia e, por extensão, a legislação portuguesa, são algumas das legislações mais rigorosas em matéria de proteção de dados (RGPD), com sanções tão duras que podem levar uma empresa à falência. Quando ocorre uma violação na segurança de uma empresa e ocorre uma fuga de dados, o órgão de proteção de dados e os utilizadores afetados devem ser informados imediatamente. Esta situação pode levar a uma sanção financeira, além de uma possível perda de confiança por parte dos clientes que pode representar a perda de receitas. Além disso, a empresa precisará de contar com especialistas em segurança, gestão jurídica, etc. Tudo isto provoca um aumento nos custos da empresa e é mais uma razão para investir em segurança.
Danos reputacionais:
Ter uma fuga de informações é muito negativo para todos os efeitos, mas a nível de reputação pode ser devastador, especialmente se a referida violação de segurança não for revelada pela empresa, mas sim pelos meios públicos ou por hackers, por exemplo. Isto pode fazer com que a empresa seja considerada insegura ou pouco fiável, e fazer com que os clientes fujam para outras empresas mais seguras.
Quando ocorre uma violação, é necessário gerir corretamente a informação que é publicada. Portanto, antes de mais nada, antes que surjam mais problemas, é necessário que todos os departamentos relevantes da empresa se reúnam para discutir as mensagens a transmitir, onde e como.
NOTA: A minha experiência, depois de mais de 20 anos em TI, é que o melhor é ter uma estratégia de comunicação preparada e deixar que os profissionais, ou seja, o departamento de marketing, se encarreguem da comunicação, enquanto o departamento de sistemas e segurança fica responsável por investigar o ocorrido, mitigar os danos e recuperar o funcionamento normal.
Perda de receitas:
A paralisação do funcionamento normal de uma organização decorrente de um ataque ou falha de segurança de grande impacto pode significar uma paragem na produção e nas receitas ou uma perda da capacidade de captar novos clientes, ou ambas as coisas, até que a situação normal se restabeleça.
Por outro lado, a perda de reputação, como dito anteriormente, normalmente leva a uma perda de confiança por parte dos clientes, o que pode desencadear a perda destes clientes, que procuram proteger os seus dados numa organização mais fiável. Se isto acontecer, poderá haver uma perda substancial de receitas que pode afetar significativamente a resiliência da empresa, colocando em risco a sua sobrevivência.
Custos de recuperação:
A recuperação da normalidade não é tão simples como se poderia esperar. Depende de dois fatores: por um lado, do nível de segurança em que estávamos antes da violação de segurança e, claro, do âmbito da violação. A dificuldade da recuperação estará ligada ao peso destes dois fatores. Se, por exemplo, for uma violação leve mas a parte da segurança foi descurada, poderemos deparar-nos com um pesadelo que talvez não afetasse outras empresas.
Trocando isto por miúdos, podemos pensar numa empresa que não tem cópias de segurança ou em que estas não estão implementadas e testadas corretamente. Nesse caso, um impacto normal num único serviço poderia demorar dias para recuperar porque, como não há cópias de segurança, tudo teria de ser reinstalado e configurado manualmente. Com sorte, os dados poderiam ser recuperados a partir de notas manuscritas ou outro formato, mas na ausência destes suportes, poderíamos encontrar-nos numa situação em que seria impossível regressar a uma normalidade real.
Depois de tudo o que dissemos, nem é preciso dizer que devemos estar preparados e investir em segurança, tanto quanto possível, para responder da melhor forma no dia em que apanhemos um susto. E esse dia vai chegar.
Conclusões:
Como vimos ao longo deste pequeno artigo sobre o custo real de não investir em segurança, são vários os pontos onde podemos sentir o impacto de não ter investido em segurança da informação. Os pontos de impacto que identificámos na Jotelulu são: violações de segurança de dados, perda de receitas, custos legais, danos reputacionais e custos de recuperação.
Como já dissemos antes, devemos tentar melhorar a segurança dentro das nossas possibilidades e progressivamente. Criar e implementar um processo de melhoria contínua na segurança pode melhorar exponencialmente a nossa posição de segurança e a nossa resiliência num curto espaço de tempo.
Se tiver interesse em ler o relatório completo da IBM sobre este assunto, está disponível no seguinte link: Relatório de custo de uma violação de dados 2023 | IBM.
Obrigado por contar connosco!
