Programas de segurança modernos são essenciais para proteger e gerenciar dados — estruturados e não estruturados, na nuvem e no local — em um cenário de dados em constante evolução. Tendências recentes apontam para um aumento em violações de dados, vazamentos de dados e comprometimento de dados considerados "jóias da coroa". Obtenha as estatísticas mais recentes sobre segurança cibernética sobre o custo de violações de dados, vazamentos de segurança e muito mais — e descubra como um programa de segurança moderno aumenta o ROI e impulsiona a inovação.
- O custo das violações de segurança
- Tempo é dinheiro
- O valor em dólar de PII e outros registros de dados confidenciais
- A maioria das violações de dados provém de ataques maliciosos
- Conformidade regulatória e ROI
- Confiança na marca e benefícios indiretos para o ROI
- Como é um programa de segurança moderno
O custo das violações de segurança
Em 2020, o custo total das violações de segurança em todo o mundo atingiu uma média de $3,86 milhões, com os Estados Unidos liderando o grupo com uma média de $8,64 milhões — ou quase o dobro do valor global — de acordo com o relatório anual Estudo da IBM/Ponemon Institute.
Dos tipos de registros que acarretam o maior custo para as empresas quando comprometidos, os registros de clientes PII — ou informações de identificação pessoal, que geralmente é altamente sensível, vulnerável e regulamentado — ficou em primeiro lugar, com um custo de $150 por registro.
Por indústria, assistência médica é o mais atingido, com $7,13 milhões em custos relacionados a violações, seguido pelo setor de energia, com $6,39 milhões, e finanças, com $5,85 milhões — todos significativamente acima da média global de $3,86 milhões.
Se você observar o que esses setores têm em comum, verá que ambos são alvos mais frequentes de invasores mal-intencionados e estão mais sujeitos a requisitos regulatórios rigorosos (devido à quantidade e aos tipos de dados confidenciais que processam) do que os setores menos afetados.
Os setores altamente regulamentados não só enfrentam mais multas e penalidades de uma violação, mas são mais propensas a sofrer danos à reputação da marca e perda de clientes como resultado do comprometimento de informações pessoais ou confidenciais.
Felizmente, existem maneiras de proteger contra custos diretos e indiretos devido a incidentes de segurança — ao mesmo tempo em que desbloqueia insights e valor dos seus dados. Implementando automação de segurança em toda a organização — aproveitando a IA e a análise automatizada — apresenta o maior potencial de economia. Empresas que implementaram totalmente a automação de segurança, em comparação àquelas sem automação, apresentam um potencial de economia de até $3,58 milhões devido à redução da ameaça de violação.
Tempo é dinheiro
O tempo médio que uma empresa leva para identificar e conter um violação de dados é de 280 dias. Empresas que utilizam a automação para conter violações em menos de 200 dias economizam uma média potencial de $1,12 milhão.
Assim como a perda de receita em incidentes de violação varia de acordo com o setor, o mesmo ocorre com o tempo do ciclo de vida da violação. O prazo médio para conter uma violação na área da saúde é de 329 dias — e 233 dias na área financeira. Empresas com automação de segurança totalmente implantada reduzem seu tempo de identificação e contenção em uma média de 74 dias.
Embora as consequências financeiras de dados comprometidos ou expostos sejam frequentemente imediatas, os efeitos também são duradouros — especialmente quando se considera a perda de confiança na marca e a fidelidade do cliente. As organizações incorrem em 39% da perda financeira decorrente de uma violação — mais de um terço — mais de um ano após a violação em si.
O valor em dólar de PII e outros registros de dados confidenciais
Os tipos de registros de dados que são mais frequentemente expostos ou comprometidos em violações contêm:
- informações pessoais do cliente: comprometido em 80% de violações de dados
- propriedade intelectual (PI): comprometido em 32% de violações de dados
- dados anonimizados do cliente: comprometido em 24% de violações de dados
- informações pessoais do funcionário: comprometido em 21% de violações de dados
Um alarmante 80% de dados comprometidos contém PII — que frequentemente são altamente sensíveis, vulneráveis e regulamentados. Além disso, todos esses tipos de registros podem ser sensíveis isoladamente ou em combinação com outros dados e tipos de dados — e são regulamentados de forma diferente pelos diversos requisitos de conformidade que uma empresa enfrenta.
Diferentes tipos de registros também acarretam custos médios diferentes para uma empresa quando expostos. O tipo de dado mais "caro" a ser comprometido é, novamente, o PII do cliente. Os custos médios por tipo de registro de dados são:
- informações pessoais do cliente: $150 por registro
- propriedade intelectual (PI): $147 por registro
- dados anonimizados do cliente: $143 por registro
- informações de identificação pessoal do funcionário: $141 por registro
A conclusão? As organizações precisam dar ênfase especial à proteção das informações pessoais identificáveis (PII) dos clientes, que são altamente regulamentadas, sensíveis, custosas quando comprometidas — e apresentam um risco muito maior do que qualquer outro tipo de dado corporativo.
A maioria das violações de dados provém de ataques maliciosos
Cinquenta e dois por cento (52%) de todas as violações de dados vêm de ataques maliciosos — e isso é 2% a mais do que falhas do sistema e erros humanos combinados, conforme mostrado na seguinte análise das causas raiz das violações de dados:
- ataques maliciosos — 52% de violações de dados
- falhas no sistema — 25% de violações de dados
- erro humano — 23% de violações de dados
Violações causadas por ataques maliciosos são, em média, quase $1 milhões mais caras do que aquelas decorrentes de erro humano ou falhas — e têm permanecido consistentemente como o tipo de violação mais custoso nos últimos cinco anos. Essas causas-raiz acarretam os seguintes custos médios:
- ataques maliciosos — $4,27 milhões
- falhas no sistema — $3,38 milhões
- erro humano — $3,33 milhões
De todas as violações causadas por ataques maliciosos, as causas raiz mais proeminentes incluem:
- 19% de credenciais roubadas ou comprometidas
- 19% de nuvem configuração incorreta
- 16% de software de terceiros vulnerabilidades
- 14% de phishing
- 10% de um comprometimento da segurança física
Os 22% restantes são provenientes de ataques internos, comprometimentos de e-mail, engenharia social e outras causas de configuração incorreta, combinados. Ataques maliciosos com malware destrutivo e ransomware custam mais caro — $4,52 milhões e $4,44 milhões, respectivamente — do que o custo médio de uma violação.
A porcentagem de ataques maliciosos também varia de acordo com a localização e o setor. A tecnologia altamente regulamentada e indústrias financeiras apresentam uma taxa de incidência de ataques maliciosos maior do que a média de 52% — especificamente, 59% para tecnologia e 56% para finanças. Nos EUA, 54% dos incidentes decorrem de ataques.
Conformidade regulatória e ROI
Existem várias maneiras pelas quais as empresas implementam um programa de segurança que gerarão retornos significativos sobre seu investimento.
Investir em Tecnologia de segurança orientada por IA permite que as empresas evitem pesadas multas e penalidades regulatórias por potenciais violações. Essas empresas não só têm maior probabilidade de evitar ou mitigar um incidente de violação dispendioso, como também estão em melhor posição para se recuperar caso ocorra um.
As regulamentações específicas que as empresas enfrentam variam de acordo com o porte da empresa, o tipo de dados que processa, a área de atuação e o setor em que atua. Setores altamente regulamentados, como finanças e saúde, apresentam retornos mais significativos com base na quantidade de dados sensíveis, pessoais, críticos e vulneráveis que coletam, armazenam e processam — sem mencionar o fato de serem mais alvos de ataques maliciosos.
Uma empresa financeira que opera nos EUA, por exemplo, precisa aderir aos requisitos de proteção estabelecidos por regulamentações que incluem — mas não estão limitados a:
- o federal Lei Gramm-Leach-Bliley (GLBA), que é projetado especificamente para serviços financeiros
- o Lei Sarbanes–Oxley (SOX)
- o Regulamento Geral sobre a Proteção de Dados (GDPR) se fizerem negócios na Europa
- regulamentações estaduais como Nova York SHIELD e NYDFS
- o Lei de Privacidade do Consumidor da Califórnia (CCPA) — bem como a sua futura lei complementar, a mais rigorosa Lei de Direitos de Privacidade da Califórnia (CPRA).
Confiança na marca e benefícios indiretos para o ROI
Proteger os dados confidenciais, as informações pessoais e as informações de identificação pessoal dos clientes — que são comprometidas em cerca de 80% das violações de dados — ajuda uma organização a construir a confiança e a fidelidade do cliente — e a evitar ramificações financeiras inevitáveis se essa confiança for danificada ou perdida.
Divulgações de violações de segurança têm um impacto crítico na reputação de uma marca. Empresas comprometidas normalmente precisam compartilhar detalhes sobre um incidente de violação com:
- reguladores
- clientes e consumidores que foram afetados pela violação
- muitas vezes terceiros, fornecedores e até mesmo a imprensa
Resultados negativos da divulgação afetam a fidelidade do cliente, as recomendações a outros clientes em potencial e a percepção geral do público sobre a marca.
Um programa de segurança baseado em inteligência de dados profunda e aprendizado de máquina aumenta o ROI ao facilitar a eficiência operacional, reduzindo o tempo de relatórios sobre incidentes e garantindo migrações para a nuvem mais seguras que reduzirá custos no futuro, estabelecendo controles de acesso que protegem contra ataques internos acesso não autorizado e erro humano, e muito mais.
Como é um programa de segurança moderno
Não importa qual seja o impacto potencial que sua organização enfrenta nos negócios em termos de segurança comprometida — desde custos financeiros a danos à reputação e perda total de dados — o custo de uma violação de segurança é maior do que o custo de proteger sua empresa dessa violação.
A tecnologia de inteligência de dados extensível da BigID se baseia em uma base de descoberta profunda que oferece às empresas visibilidade total de todos os seus dados. Técnicas avançadas de aprendizado de máquina classificam e marcam todos os dados que você coleta e processa em toda a sua empresa — tanto na nuvem quanto no local.
Identificar e dados do mapa por PII de clientes e funcionários, propriedade intelectual, dados essenciais, dados críticos e muito mais — para que você saiba onde estão seus dados mais vulneráveis e como protegê-los da melhor forma. Priorize dados de alto risco com questões de acesso aberto, requisitos regulatórios e retenção Política. Reduza o tempo de notificação e resposta a violações de dados, evite consequências adversas à reputação de um incidente e capacite sua organização a descobrir insights valiosos a partir dos seus dados.
A plataforma da BigID incorpora aplicativos modulares adequados à sua finalidade e projetados para criar soluções práticas para as necessidades do seu negócio. Integre aplicativos como pontuação de risco, inteligência de acesso a arquivos, correção de dadose investigação de violações de dados em sua estrutura de segurança para tomar medidas rápidas sobre dados vulneráveis e expostos — e reduzir mensuravelmente os riscos para toda a sua organização.
Agende uma demonstração do BigID para saber mais sobre como sua empresa pode aproveitar ao máximo um programa de segurança de dados adaptável e acionável com base em descoberta e classificação profundas — e maximizar seu retorno sobre o investimento.
Autor
