Há uma correlação entre a maneira como uma violação de dados é divulgada e o prejuízo financeiro que a organização envolvida sofre após um incidente de cibersegurança. De acordo com o novo relatório da Kaspersky “Como as empresas podem minimizar o custo de uma violação de dados“, pequenas e médias empresas (PMEs) que decidem informar uma violação aos públicos interessados têm, em média, perdas 40% menores se comparadas às que tiveram incidentes vazados pela imprensa. Esta tendência também foi observada entre grandes corporações.
Não informar o público de forma rápida e adequada sobre uma violação de dados pode agravar as consequências do incidente. Alguns casos famosos foram o da Yahoo!, que foi multada e recebeu críticas por não avisar seus investidores sobre uma violação de dados, e a multa ao Uber por encobrir um incidente.
Custos para PMEs na América Latina
A conclusão foi baseada em uma pesquisa global que fizemos com mais de 5,2 mil profissionais de TI e cibersegurança – mais de 300 na América Latina. Na região, os custos para uma PME que avisa proativamente sobre uma violação somam US$ 93 mil, enquanto empresas semelhantes que tiveram o incidente informado pela imprensa sofreram prejuízo de US$ 163 mil. O mesmo ocorre no caso de grandes corporações: quem informou o público voluntariamente registrou perda de US$ 878 mil, contra US$ 1,359 milhão de quem teve o incidente revelado pela imprensa.
Cerca de duas em cada cinco empresas (42%) que sofreram uma violação de dados decidiu revelá-la de maneira proativa e 31% delas preferiram não divulgar. Mais de um quarto (27%) das empresas tentaram ocultar o incidente, mas ele vazou para a imprensa. Embora tenham sido relatadas perdas menores quando as empresas conseguem esconder o incidente, essa abordagem está longe do ideal. Além disso, caso o vazamento seja exposto posteriormente contra a vontade da organização, os prejuízos serão maiores.
A pesquisa mostrou ainda que os riscos são especialmente grandes para empresas incapazes de detectar um ataque imediatamente: 19% das PMEs que levaram mais de uma semana para identificar que sofreram uma violação descobriram por meio da imprensa, porcentagem quase duas vezes maior do que a das que detectaram a violação quase imediatamente (30%). No caso das grandes corporações, o risco é o mesmo, com 50% em ambos os casos.
“As empresas latino-americanas não costumavam avisar seus clientes sobre um incidente de segurança, mas este cenário mudou. A pesquisa mostra que 41% das empresas da região já decidem divulgar o vazamento para mitigar o impacto em sua reputação e 50% por políticas internas e fatores éticos. A obrigação por meio de uma regulação aparece com 47%.”, afirma Roberto Rebouças, gerente-executivo da Kaspersky no Brasil. “Minha leitura é que, no Brasil, a Lei Geral de Proteção de Dados já fez efeito e o cliente final é quem mais se beneficia com isso. Se a empresa tratar o consumidor com responsabilidade, há mais chance de ele continuar confiando nela”, observa.
Dicas para proteção de dados nas empresas
- Para a detecção, investigação, busca proativa de ameaças e rápida resposta a ameaças avançadas em nível de endpoints, implementar soluções de EDR, como o Kaspersky Endpoint Detection and Response. Empresas menores com experiência em cibersegurança limitada podem tirar proveito do Kaspersky EDR Optimum, que oferece funcionalidades básicas de EDR.
- Oferecer treinamentos de conscientização para os funcionários, para que saibam reconhecer um incidente de cibersegurança e o que devem fazer ao detectá-lo, inclusive avisar imediatamente o departamento de segurança de TI da empresa.