Proteger contra uma violação de dados é um problema cada vez mais complexo para as organizações e o custo médio de uma violação de dados continua a subir, chegando a uma média de US$ 3,92 milhões em 2019, segundo o “Cost of a Data Breach Report” mais recente, conduzido pelo Ponemon Institute para a IBM Security.
Embora a proteção seja uma parte essencial da segurança cibernética, as chances de uma violação também estão aumentando. Isso pressiona as equipes de segurança para terem um plano de resposta ao que parece inevitável: a ocorrência de uma violação.
Apesar da preocupação óbvia que as organizações têm sobre essas tendências, entre as descobertas mais animadoras do relatório está a eficácia das respostas a incidentes na mitigação dos custos de violação de dados. O que você faz após um incidente cibernético pode realmente fazer a diferença no custo.
Quais fatores contribuem para o custo de uma violação de dados?
O “Cost of a Data Breach Report” examinou centenas de fatores que influenciaram o custo de uma violação de dados em mais de 500 organizações, durante um período de 12 meses em 2018 e 2019, desde custos de detecção e notificação até multas regulatórias, custos legais e perdas para o negócio. O ponto mais interessante desta pesquisa é que ela nos permite entender como esses diferentes fatores podem influenciar os custos, para melhor ou para pior.
Uma resposta rápida a um incidente cibernético e a capacidade de limitar o impacto é o que faz a diferença entre um desastre contido e uma catástrofe de longo alcance. Em outras palavras, tempo é dinheiro. Os dados parecem confirmar isso.
Entre os principais fatores que contribuem para o custo das violações de dados estudadas no relatório de 2019, estava o tempo de detectar e conter uma violação, o que é conhecido como ciclo de vida de violação de dados. O ciclo de vida médio da violação de dados no estudo de 2019 foi de 279 dias, mas as organizações pesquisadas que conseguiam conter uma violação em menos de 200 dias sofreram custos que eram, em média, aproximadamente US$ 1,2 milhão mais baixos do que as organizações que levaram mais de 200 dias para conter uma violação (US$ 3,34 milhões contra US$ 4,56 milhões), uma diferença de 37%.
Os fatores estudados que contribuíram para essa diferença de custo incluíram o tipo de violação. As violações mais caras foram aquelas causadas por atacantes mal-intencionados, sejam atores externos ou internos mal intencionados, e essas violações levaram muito mais tempo para serem identificadas e contidas (314 dias em média versus a média geral de 279 dias). Isso pode ocorrer porque quanto mais tempo leva para identificar e conter uma violação, mais tempo um invasor pode ter para se deslocar em seus sistemas e causar danos, e mais caro seria investigar a violação e limpar os danos.
Isso é especialmente verdadeiro no caso de ataques destrutivos, incluindo o wiper ransomware, como a epidemia de bilhões de dólares causada pelo NotPetya em 2017 ou os ataques LockerGoga mais recentes. De acordo com um relatório recente da equipe IBM X-Force Incident Response and Intelligence Services (IRIS) sobre ataques destrutivos, onde foram analisamos os custos para clientes IBM atingidos por esses ataques, as grandes empresas multinacionais enfrentaram um custo médio de US$ 239 milhões ou 61 vezes o custo médio de uma violação de dados.
Equipes de resposta a incidentes e testes do seu plano
Entre um conjunto de 26 fatores examinados no estudo de 2019, duas das maneiras mais impactantes para mitigar o custo total de uma violação de dados envolvem resposta a incidentes. A formação de uma equipe de resposta a incidentes foi o principal fator de redução de custos, reduzindo o custo total médio de uma violação de dados em US$ 360.000 (para um custo médio ajustado de US$ 3,56 milhões versus a média geral de US$ 3,92 milhões). Logo em seguida vieram os testes extensivos de um plano de resposta a incidentes, que conseguiram reduzir o custo total médio em US$ 320.000 (para um custo ajustado de US$ 3,6 milhões).
O mais impressionante de tudo é que o estudo descobriu que as organizações pesquisadas que tinham uma equipe de resposta a incidentes e testaram seu plano de resposta a incidentes tiveram um custo total médio de US$ 3,51 milhões, enquanto as organizações pesquisadas que não tinham uma equipe de resposta a incidentes e não testaram seu plano de resposta a incidentes teve um custo total médio de US$ 4,74 milhões.
Isso representa uma economia de US$ 1,23 milhão, ou seja, uma redução de 35%. A conclusão desta descoberta é que ter uma equipe de resposta a incidentes e um plano de resposta a incidentes é a linha de base. Para realmente reduzir o tempo de resposta, conter uma violação e, portanto, reduzir o custo total de uma violação, a equipe de segurança deve ler e reler o seu playbook repetidas vezes até que ele fique entranhado na memória.
Etapas para ajudar a melhorar a resposta a incidentes e minimizar os impactos financeiros
A prevenção nem sempre é possível, portanto, a preparação e o planejamento são essenciais para ajudar a minimizar as consequências de um incidente cibernético. Sugerimos os cinco pontos a seguir, para ajudar a reduzir o tempo de resposta e minimizar os danos financeiros e à reputação de sua organização causados por uma violação de dados.
- Teste sua equipe e seu plano de resposta a incidentes
A eficácia da sua resposta a incidentes depende da criação do seu plano e testá-lo, para descobrir o que não é eficaz e ajustar o seu plano de acordo. É preciso considerar que o seu plano é tão bom quanto as pessoas que o executam. As equipes precisam praticar habilidades de liderança, comunicação e tomada de decisão, para lidar com as situações mais difíceis. O estudo de exercícios documentados ajuda, mas as equipes podem ter mais sucesso desenvolvendo suas capacidades de resposta física e emocional em um ambiente simulado.
- Invista em tecnologia para ajudar a melhorar sua capacidade de detectar e conter rapidamente uma violação
Na medida do possível, você deve automatizar sua resposta por meio da tecnologia, incluindo ferramentas corporativas de detecção e resposta, que podem ajudar na orquestração da automação.
O “Cost of a Data Breach Report” constatou que a automação da segurança ajudou a reduzir o custo de uma violação de dados para as organizações pesquisadas em até 50%. As organizações com automação de segurança totalmente implantada tiveram um custo médio de violação de dados de US$ 2,65 milhões em 2019, enquanto as organizações sem automação de segurança implantada tiveram um custo médio de US$ 5,16 milhões.
- Use a inteligência de ameaças para entender os riscos e otimizar a segurança
O relatório aponta que 51% das violações das organizações pesquisadas foram causadas por ataques maliciosos ou criminosos. A inteligência de ameaças pode ajudar a fornecer informações sobre as diferentes motivações, capacidades e intenções dos invasores, permitindo que você entenda seus riscos e faça investimentos de segurança mais eficientes.
- Faça backup de seus sistemas e dados e tenha um plano de continuidade de negócios
Os negócios perdidos foram a maior das quatro principais categorias de custo estudadas no relatório de violação de dados de 2019. Mais caras que os custos com detecção e escalação, notificação e pós-resposta, além de custos legais. Ninguém deseja aumentar o custo de uma violação desligando os sistemas ou ter ataques destrutivos, eliminando dados ou sistemas que são caros para recuperar. As organizações devem armazenar backups offline, inacessíveis a partir dos sistemas principais, para que os invasores não os comprometam.
- Quando as alternativas anteriores falharem, considere a ajuda externa
Se sua equipe de resposta a incidentes estiver despreparada ou sobrecarregada, integre ao seu time profissionais dos provedores de serviços de resposta a incidentes, que podem entrar em ação para ajudar a lidar com um incidente cibernético complexo, como um ataque destrutivo.
Os profissionais especializados em resposta a incidentes podem ajudar não apenas a conter o ataque, mas também a corrigir e recuperar sistemas e dados, visando colocar seu negócio em funcionamento novamente. Quando realmente é necessário, a melhor decisão é pedir ajuda, especialmente considerando o custo de uma resposta incorreta.