Aumenta o custo das violações de dados no Brasil e no mundo

[av_heading heading=’Violação de dados no Brasil e no mundo!’ tag=’h1′ style=” size=” subheading_active=” subheading_size=’15’ padding=’10’ color=” custom_font=”][/av_heading]

[av_textblock size=” font_color=” color=”]
vio-brasil-2

O prejuízo das empresas com incidentes de segurança da informação não para de crescer. Uma pesquisa do Instituto Ponemon sobre o impacto financeiro por meio das violações de dados realizada com 383 organizações de 12 países, inclusive o Brasil, aponta que, globalmente, esse valor chegou a US$ 4 milhões em 2015, um aumento de 29% desde 2013.

Os incidentes de segurança continuam a crescer no mundo inteiro em volume e sofisticação e, em 2015, foram reportados 64% mais incidentes do que em 2014.
O estudo também aponta que o custo médio de cada registro de dados sensíveis ou confidenciais que tenha sido perdido ou roubado passou de US$ 154M para US$ 158M.

No caso de prontuários médicos esse valor chega a R$ 355M.

O cenário de ameaças no Brasil

O Brasil, segundo a pesquisa, é um dos países mais vulneráveis e o prejuízo total das empresas passou de R$ 3,96 milhões em 2014 para R$ 4,31 milhões em 2015, enquanto o número de dados roubados em 2015 cresceu de 3.900 para 85.400.

O custo por roubo ou perda de registros passou de R$ 175M para R$ 225M no mesmo período.

Também houve crescimento nos custos pós-violação, como despesas legais com serviços de proteção (de R$ 1,23 milhões para R$ 1,32 milhões).

A pesquisa foi realizada com 33 empresas.

Já os dados divulgados na Estatística dos Incidentes Reportados ao CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança do Brasil), apontam que de 2014 para 2015 houve uma queda no volume de violações de dados.

Em 2014, foram registrados 1.047.031 incidentes e, em 2015, 722.205 incidentes. Estas notificações são voluntárias e refletem os incidentes ocorridos em redes que espontaneamente os notificaram ao CERT.br.

Mas por que essa variação tão expressiva entre 2014 e 2015?

Segundo Leonardo Moreira, diretor de engenharia da PROOF, “o número de incidentes divulgado pelo CERT.br na verdade mostra que o ano de 2014 foi um ‘ponto fora da curva’, provavelmente por causa da Copa.

Além disso, no Brasil as empresas não são obrigadas a divulgar um incidente, ou seja, o número pode ser muito maior.

O ano de 2016 provavelmente terá um grande aumento no número de incidentes e as principais causas serão o ransomware e as olimpíadas”.

Quer saber mais sobre como o ransomware pode ameaçar a sua empresa? Baixe o whitepaper da PROOF Ransomware: Conheça a praga que vai dominar 2016.
[/av_textblock]

Entenda o impacto das leis de segurança de dados

O mercado de segurança brasileiro se espelha muito nos Estados Unidos e em países mais avançados na área de segurança da informação. No entanto, o Brasil e o país norte-americano têm muitas diferenças quanto ao incentivo das leis no investimento em segurança.

Enquanto nos Estados Unidos existe uma regulação do mercado para tratar da segurança da informação, no Brasil não existe nem a obrigatoriedade de comunicar os incidentes, nem para governos e, muito menos, para empresas.

Enquanto nos Estados Unidos as empresas sabem que, se sofrerem uma invasão, a marca vai perder valor e as ações vão cair – algumas correm até o risco de sair do mercado –, no Brasil a maioria das empresas não sofre com essa possibilidade, pois simplesmente não divulga seus números.

Inclusive, por essa razão, os números de segurança no Brasil são bem pouco confiáveis. Afinal, que empresa vai querer ter uma mancha em sua marca se não for obrigada a isso?

Confira a seguir as principais características das leis de segurança da informação nos Estados Unidos e no Brasil:

 

Estados Unidos

Os Estados Unidos têm cerca de 20 leis específicas por setor de privacidade ou leis de segurança de dados e centenas de leis estaduais. Só a Califórnia, onde está localizado o Vale do Silício, tem mais de 25 leis estaduais de privacidade e segurança de dados.

Ainda que não haja uma autoridade nacional responsável pela segurança da informação, a Federal Trade Commission (FTC) tem jurisdição em casos de segurança da informação.

No país, a definição de dados pessoais varia de acordo com cada regulação. O FTC considera informação pessoal aquela que pode ser usada para contatar ou distinguir uma pessoa, incluindo endereços de IP e identificadores de dispositivos.

Os dados pessoais sensíveis também variam de acordo com a regulação. De maneira geral, dados pessoais de saúde, dados financeiros, dados estudantis, informações pessoais de crianças abaixo de 13 anos coletadas online e informações que possam ser usadas para praticar ou identificar atos criminosos ou fraudes são considerados sensíveis.

Todas as empresas americanas devem arcar com medidas técnicas, físicas e organizacionais razoáveis para proteger informações pessoais sensíveis. Alguns estados têm leis mais específicas quanto às exigências de segurança para os dados. O estado de Massachusetts, por exemplo, tem leis que se aplicam a qualquer empresa que coleta e mantém informações pessoais sensíveis de residentes do estado.

Além do estado de Massachusetts, o estado de Nevada também impõe exigências de criptografia na transmissão de dados pessoais sensíveis em redes wireless e armazenados em notebooks e dispositivos portáteis.

Entre as leis específicas para cada setor, podemos citar o Health Insurance Portability and Accountability Act (HIPAA), que regula entidades do setor de saúde. O setor financeiro também impõe uma série de exigências por meio de reguladores federais, incluindo a exigência de auditorias de segurança.

Em grande parte do território americano, as empresas são obrigadas a notificar violações de dados envolvendo informações sensíveis de residentes, incluindo números de seguro social, outros dados de documentos, cartões de crédito ou contas bancárias. Em cada vez mais estados, dados sensíveis incluem informações médicas, números de plano de saúde, dados biométricos e credenciais de acesso, além de datas de nascimento e certidões de nascimento e casamento.

 

Brasil

O Brasil não tem leis específicas de segurança da informação, mas têm alguns princípios gerais para proteção de dados e privacidade definidos na Constituição Federal e leis e regulações específicas para alguns tipos de relacionamento, como o Marco Civil da Internet, o Código Civil Brasileiro e as Leis do Trabalho.

A Constituição Federal prevê que a intimidade, a privacidade, a honra e a imagem sejam invioláveis, que a confidencialidade da correspondência e dos meios de comunicação eletrônicos seja protegida e que todos tenham garantia de acesso à informação sempre que necessário para exercício de atividade profissional, ainda que a confidencialidade da fonte seja protegida.

O Marco Civil da Internet, que estabeleceu princípios, direitos e obrigações gerais para o uso da internet, contém algumas diretrizes importantes para o armazenamento, o uso, o tratamento e a divulgação de dados coletados online. Porém, além de não haver obrigatoriedade de divulgar incidentes de segurança, não existe uma definição legal do que são considerados dados pessoais ou dados pessoais sensíveis. O país também não tem uma autoridade nacional em proteção de dados.

Apesar de haver princípios gerais, como a obrigatoriedade de medidas organizacionais, físicas e técnicas razoáveis para proteger a segurança de dados pessoais, não há exigências, restrições ou detalhes específicos de como a segurança deve ser implementada. O Marco Civil da Internet, por exemplo, apenas estabelece que provedores de serviços e de redes e aplicações devem manter registros de acesso confidenciais, em um ambiente controlado e seguro. O tempo de retenção obrigatório de dados varia de acordo com a natureza do negócio. O período ainda pode ser estendido com base em pedidos de autoridades públicas.

 

Qual o impacto dessa diferença

A presença de uma legislação forte em segurança da informação acaba fazendo com que as empresas invistam mais nessa área. Afinal, quando há obrigatoriedade de comunicar violações de dados, as empresas sentem mais a pressão de manter seus dados seguros para proteger o negócio.

O Marco Civil da Internet, apesar de ter trazido uma série de princípios necessários para proteger os dados do usuário, detalha bem pouco os controles e procedimentos necessários para proteger as informações.

Enquanto isso, as empresas brasileiras seguem “desobrigadas” pela lei a investir em sua estrutura de segurança da informação de maneira mais proativa.

Como a ciência de dados está melhorando a gestão logística

A ciência de dados e a internet das coisas já faz parte de diversas partes do nosso dia a dia, desde o atendimento ao cliente até as recomendações que recebemos de diversos serviços dos quais somos consumidores.

Como clientes, os benefícios dessas tecnologias na gestão logística são óbvios, como monitoramento em tempo real, otimização de rotas e planejamento. No entanto, há ainda outras vantagens que a ciência de dados e a internet das coisas podem dar à gestão logística, tornando-a mais segura e transparente. Confira:

Sensor de capacidade

Na gestão logística, informações precisas sobre a capacidade de armazenamento têm um papel crucial. Qualquer informação errada pode levar a diversos problemas na experiência do cliente e a possíveis perdas. A internet das coisas ajuda as empresas a terem informações em tempo real da exata quantidade de itens que ainda podem ser armazenados, evitando desperdícios e gastos adicionais.

Planejamento da rota

Tempo e combustível são grandes preocupações logísticas. A internet das coisas, com a ajuda de tecnologias de GPS, pode ajudar a otimizar esse planejamento, permitindo analisar e mostrar o tempo e o custo de cada rota para entregar um produto.

Monitoramento e gestão do ambiente

Existem produtos delicados ou matérias médicos que devem ser mantidos a temperaturas específicas e requerem um cuidado extra na embalagem e no transporte para evitar danos. Para monitorar e gerenciar o fluxo de mercadorias sensíveis, a ciência de dados e a internet das coisas oferecem ferramentas capazes de gerir e ajustar a temperatura desses produtos, garantindo sua segurança.

Análise preditiva e monitoramento contínuo

Por meio da análise preditiva com base em dados históricos, a gestão logística pode prever o fluxo de mercadorias que podem ter no futuro. Os dados podem ser coletados com o monitoramento em tempo real que, além de oferecer insights, permite manter um rastreamento contínuo dos pacotes da origem até o destino.

A análise preditiva pode fazer a diferença em empresas de diversas indústrias. Baixe o whitepaper da PROOF Como a análise preditiva pode ajudar a sua empresa? e saiba como essa tecnologia oferece vantagens competitivas.

Com Smart Data Collective

Custo das violações de dados no Brasil

Um estudo do Instituto Ponemon, de 2015, feito com 34 empresas de 12 diferentes setores da indústria brasileira, revelou que o custo médio total das violações de dados para as empresas do país é de R$ 3,9 milhões. O número é 10% maior em relação ao de 2014, quando o custo médio das violações era de R$ 3,6 milhões.

A pesquisa ainda revelou o custo por cada perda ou roubo de registros contendo informações sensíveis, que subiu de R$ 157, em 2014, para R$ 175 em 2015.

No caso de algumas indústrias, o custo por cada registro perdido ou roubado é maior. No caso, os setores de serviços, comunicações, energia e finanças são os que mais sofrem, com custos muito mais elevados que a média geral, de R$ 175: R$ 233, R$ 222, R$ 216 e R$ 214, respectivamente.

Os setores público e de transporte são os que têm os custos mais baixos por perda ou roubo de registros de dados: R$ 111 e R$ 70, respectivamente.

Ataques maliciosos são a principal causa de violações

Os ataques maliciosos ou criminosos respondem por 38% dos incidentes. Os dados violados por meio de ataques do tipo também são os mais caros para as empresas, custando cerca de R$ 202 por registro perdido ou roubado. Entre as outras causas dos incidentes, aparecem a negligência de colaboradores (32%) e as falhas no sistema (30%).

Além dos custos relacionados à contratação de experts para entender as causas da violação de dados e restaurar os sistemas de segurança, alguns setores sofrem mais com o turnover de clientes que os outros. O setor financeiro é o que mais sofre impacto, com altas taxas de rotatividade (5%). O setor varejista, por outro lado, é o que menos sofre (exceto pelo setor público, que não tem esse problema), com apenas 1%.

Os dados de máquina são uma grande oportunidade para empresas do setor financeiro. Componentes da infraestrutura, como sistemas bancários, redes de compensação de pagamentos, servidores, aplicações e plataformas de serviços mobile geram grandes volumes de dados de máquinas todos os dias.

A PROOF é a principal parceira da Splunk na América Latina e desenvolve os maiores processos de Business Analytics, fornecendo insights preciosos, além de identificar problemas, riscos e oportunidades. As ferramentas Splunk ajudam a mitigar o risco de uma violação de segurança ao identificar a fonte da ameaça, permitindo indexar dados de máquina rapidamente para correlacionar dados entre sistemas para identificar ameaças.

Saiba quanto custam as violações de dados no mundo

São cada vez mais comuns as notícias sobre escandalosas violações de dados, principalmente envolvendo nomes de grandes empresas que armazenam informações pessoais importantes de seus clientes. Para isso, os hackers usam técnicas sofisticadas capazes de contornar facilmente arquiteturas de segurança ultrapassadas.

Se no passado os executivos e diretores das corporações podiam ser condescendentes sobre os riscos dos ciber ataques, hoje o cenário é outro.

Varejo é o que mais sofre o impacto das violações

Segundo uma pesquisa do Instituto Ponemon, o custo médio total de uma violação de dados para as empresas entrevistadas cresceu 23% nos últimos dois anos, chegando a US$ 3,79 milhões. O estudo ouviu 350 empresas de 11 países, incluindo Estados Unidos, Canadá, Brasil, Reino Unido, Alemanha, França, Itália, Emirados Árabes, Arábia Saudita, Índia, Japão e Austrália.

O custo médio para cada perda ou roubo de registros contendo informações sensíveis e confidenciais cresceu 6%, pulando de US$ 145 em 2014 para US$ 154 em 2015. Para os setores industrial e o público, perdas ou roubos de registros custam um pouco menos: US$ 121 e US$ 60, respectivamente. Para o varejo, no entanto, o custo foi o que mais cresceu desde o último ano, passando de US$ 105 para US$ 165.

O que causam os custos

Após uma violação de dados, as empresas devem lidar com uma série de gastos causados direta ou indiretamente pelo vazamento de informações. As organizações precisam, por exemplo, contratar um expert em TI para entender o que causou a violação e reparar o sistema de segurança.

Existem ainda os gastos inevitáveis com o suporte ao cliente, como o fornecimento de descontos em futuros produtos ou serviços e até um canal de comunicação para prestar suporte às vítimas.

Entre os gastos indiretos estão os decorrentes de investigações e comunicações internas, bem como as perdas causadas pelo aumento das taxas de turnover de clientes e a necessidade de reconquistá-los.

A PROOF desenvolveu um serviço especializado para auxiliar as empresas no gerenciamento do ambiente de TI, 24 horas por dia. Com o MSS PROOF, é possível selecionar o nível adequado de monitoramento e suporte que a empresa precisa. A segurança também pode ser uma vertente de geração de resultados para o negócio, garantindo visibilidade de informações essenciais para gerar insights capazes de reduzir custos, aumentar receita e reduzir riscos para o negócio.