SÃO PAULO, Brasil – 05 de junho de 2013 – A Symantec Corp. (Nasdaq: SYMC) e o Ponemon Institute divulgam, pela primeira vez no Brasil, o Relatório 2013 sobre o Custo do Vazamento de Dados, revelando que erros humanos e falhas em sistemas causaram a grande maioria das violações de dados em 2012 e comprova uma média global de US$136, ou cerca de *R$290 por registro . Os problemas incluíram o tratamento incorreto de dados confidenciais por parte dos funcionários, a falta de sistemas de controle e violações de normas regulatórias do setor e do governo. Setores altamente regulados, como finanças, saúde e indústria farmacêutica, tiveram custos decorrentes de violações 70 por cento maiores do que outros segmentos.
O custo global por registro comprometido ficou acima do valor do ano anterior, e o custo total por violação de dados nos Estados Unidos ficou ligeiramente abaixo em R$ 11,5 milhões. No Brasil, o custo total médio de um incidente de violação foi de R$ 2,64 milhões. O custo máximo do vazamento de dados entre as 31 empresas sediadas no Brasil foi de R$ 9,74 milhões e o custo mínimo foi de R$230 mil.
“Dado que organizações com Diretores de Segurança de Informação ficaram menos expostas aos custos de vazamento de dados, é evidente a importância de uma abordagem holística e bem coordenada para a segurança das informações. Empresas com melhores posturas de segurança protegem informações confidenciais de seus clientes, com uma combinação de treinamento, inteligência e tecnologia. Não importa onde elas estejam”, comenta Gustavo Leite, Especialista em Segurança e Proteção da Infornação da Symantec.
As empresas podem avaliar seus próprios riscos, visitando a Calculadora de Riscos de Violação de Dados da Symantec, que leva em conta o tamanho, o setor, a localização e as práticas de segurança da organização para fazer estimativas por registro e também organizacionais.
A seguir, apontamos outros resultados importantes do estudo:
– O custo médio por violação de dados varia amplamente em todo o mundo. Muitas dessas diferenças são devidas aos tipos de ameaças sofridas pelas organizações bem como às leis de proteção de dados nos respectivos países. Alguns países como Alemanha, Austrália, Reino Unido e Estados Unidos possuem mais leis de proteção ao consumidor e normas para reforçar a privacidade e a segurança dos dados eletrônicos. No Brasil, o custo médio por violação chega a R$ 116 por registro, enquanto países como Estados Unidos e Alemanha se mantém no marco dos vazamentos mais dispendiosos (cerca de *R$400 e *R$424 por registro, respectivamente). Esses dois países também tiveram o mais alto custo por vazamento de dados (Estados Unidos com US$5,4 milhões ou cerca de *R$11,5 milhões e a Alemanha com US$4,8 milhões ou cerca de *R$10,2 milhões).
– A perda de negócios representa a categoria com maior custo gerado pelo vazamento de dados. Esses custos se referem à rotatividade anormal de clientes, ao aumento das atividades de prospecção, à perda de reputação e à queda no relacionamento. No Brasil, o custo médio da perda de negócios foi de R$1.03 milhão ou 39 por cento do custo total do vazamento de dados. A taxa média de rotatividade anormal foi de 2,4 por cento com um índice mínimo de rotatividade de zero e máximo de 6,5 por cento.
– Falha humana e de sistema são as principais causas da violação de dados. Juntos, os erros humanos e os problemas com sistemas corresponderam a 64 por cento das violações de dados no estudo global. No Brasil, falhas no sistema e erros de funcionários resultaram em um custo muito mais baixo per capita, de R$109 e R$107, respectivamente. Uma pesquisa anterior havia mostrado que 62 por cento dos funcionários brasileiros achavam aceitável transferir dados corporativos para fora da empresa e que a maioria nunca apaga os dados, deixando-os vulneráveis a vazamentos. Isso ilustra a grande medida com que as equipes internas contribuem para violações de dados e para os custos elevados que a perda de dados pode gerar para as organizações. As empresas brasileiras foram as mais suscetíveis a violações causadas por erro humano. Já as empresas na Índia foram mais suscetíveis a violações causadas por falhas em sistemas ou em processos de negócio. Falhas de sistema incluem problemas em aplicativos, dumping de dados, erros de lógica na transferência de dados, falhas de autenticação ou de identidade (acesso ilícito), falhas de recuperação de dados, entre outros.
– Ataques dolosos e criminosos são os mais onerosos em todos os mercados. Resultados consolidados mostram que ataques dolosos e criminosos causaram 37 por cento das violações de dados e são os incidentes de violações de dados mais onerosos em todos os nove países pesquisados. As empresas brasileiras tiveram a violação de dados menos onerosa (R$143 por registro violado) depois da Índia (*R$98 por registro). Estados Unidos e Alemanha tiveram os incidentes de violação de dados mais onerosos causados por atacantes dolosos ou criminosos, com média de R$590 e R$455 por registro comprometido, respectivamente, enquanto as empresas alemãs também foram as mais suscetíveis aos ataques dolosos ou criminosos, seguidas por Austrália e Japão.
– Monitoramento especializado reduzem os custos. A nomeação de Diretores de Segurança de Informação responsáveis por toda estrutura da organização, planos abrangentes para resposta a incidentes e programas de segurança gerais mais sólidos ajudam a conter o risco de violações. Se a organização tiver uma postura de segurança sólida, o custo médio de uma violação de dados cai para R$19 por registro violado. Além disso, planejar-se antecipadamente para a violação e nomear um Diretor de Segurança da Informação poupa R$11 e R$6, respectivamente. Por fim, envolver consultores externos para ajudar na resposta à violação gera uma economia de R$5 por registro comprometido.
– Outros fatores que elevam os custos. Erros de terceiros e a notificação muito rápida da violação de dados às vítimas, aos órgãos reguladores e a outras partes interessadas fizeram com que as empresas nos EUA tivessem o maior aumento nos custos. No Brasil, por exemplo, as violações de dados causadas por terceiros aumentaram o custo per capita em R$20. Além disso, os incidentes de violação envolvendo a perda ou o roubo de dados com dispositivos aumentaram o custo per capita em R$11 por registro. Por fim, as organizações que notificaram os clientes muito rapidamente, sem uma cuidadosa avaliação ou exame forense, tiveram R$6 de custo extra por registro violado, em média.
A Symantec recomenda as seguintes melhores práticas para impedir a violação de dados e reduzir os custos:
1. Orientar e treinar funcionários sobre como lidar com informações confidenciais;
2. Usar a tecnologia de prevenção contra perda de dados (DLP – Data Loss Prevention) para identificar dados críticos e protegê-los para que não deixem sua organização;
3. Implantar soluções complexas de autenticação forte e criptografia;
4. Preparar um plano de resposta a incidentes, incluindo medidas adequadas para a notificação dos clientes.
Sobre o Relatório
O oitavo estudo global sobre vazamento de dados da Symantec inclui o mercado brasileiro pela primeira vez. O relatório se baseia nas experiências em violação de dados reais de 277 empresas em nove países – incluindo Brasil, Estados Unidos, Reino Unido, França, Alemanha, Itália, Índia, Japão e Austrália. O relatório global e os relatórios por país podem ser encontrados neste link. Todos os incidentes de violação de dados estudados nos relatórios ocorreram no ano 2012. A fim de rastrear os dados de tendências de forma adequada, o Ponemon Institute não inclui registros de “megaviolações de dados” com mais de 100.000 registros comprometidos.
*OBS – Conversão do dólar baseada em taxa de R$2,13 de Junho de 2013
Conecte-se com a Symantec
Siga @SymantecBR no Twitter
Sobre a Symantec
A Symantec protege informações de todo o mundo e é líder global em soluções de segurança, backup e disponibilidade. Nossos produtos e serviços inovadores protegem pessoas e informações em qualquer ambiente – desde o menor dispositivo móvel, até data centers empresariais e sistemas baseados na nuvem. Nossa experiência líder de mercado em proteção de dados, identidades e interações proporcionam aos nossos clientes confiança no mundo conectado. Informações adicionais estão disponíveis em http://www.symantec.com.br ou nos canais da Symantec em go.symantec.com/socialmedia.