Por Bruno Mattiuzo

/ Em Dados e Análises Negócios /

Postado em

jun 24, 2021

O retorno sobre o investimento em cibersegurança

Embora investir em segurança cibernética não forneça retornos imediatos, isso salva empresas de muitas dores de cabeça e no bolso.

imagem de um funcionário homem sentado em frente a um computador com o símbolo de cibersegurança que é um cadeado em cima do computador e ao lado o título do artigo que é o retorno sobre o investimento em cibersegurança e embaixo desses elementos tem o logo da Redbelt Security

Nunca ninguém pensa que sua empresa será alvo de um ataque cibernético. Pode ser uma empresa pequena e relativamente pouco chamativa, com apenas algumas dezenas de funcionários e, a julgar pelo balanço, não parece representar um grande atrativo para um hacker. Sendo assim, não investe em defesas cibernéticas adequadas porque não consegue justificar o gasto desse tipo de dinheiro em algo de que provavelmente nunca precisará.

Então acontece, a empresa é atingida por um ataque de ransomware e fica com todos seus sistemas internos de TI bloqueados até que seja pago um pesado resgate. Neste momento a empresa gostaria de ter dado ouvidos aos seus especialistas de TI quando pediram que fosse investido mais em segurança digital.

Quando pensamos em ROI (sigla em inglês para retorno sobre o investimento) dentro das organizações nos vem à cabeça diversas ações desde comerciais, de marketing, até SEO por exemplo, frentes que são mais facilmente mensuráveis os resultados de certas decisões ou projetos. Embora não seja algo comum um cálculo de retorno do investimento dentro das organizações quando se trata de segurança cibernética, essas tecnologias podem ajudar a evitar muitos problemas, dores de cabeça e impactos no bolso das empresas.

Prevenção é o centro da questão quando pensamos em ROI para cibersegurança. Sejam processos, tecnologias ou ferramentas, antecipar os riscos e manter o ambiente digital da organização protegido podem trazer economias consideráveis.

Um estudo da IBM em conjunto com o Instituto Ponemon, realizado em 524 organizações ao redor do mundo e entrevistando mais 3200 profissionais de segurança, identificou que o custo médio de uma violação de dados é de US$ 3,86 milhões de dólares globalmente. Quando olhamos somente para o Brasil esse custo médio cai para US$ 1,12 milhão, conferindo ao país a média mais baixa entre os 17 países que figuram no estudo.

Alguns fatores contribuem para que esse custo seja menor dentro das organizações, dentre eles podemos citar automação, análise de dados, e equipes preparadas para resposta a incidentes em casos de ataques. Os custos destas violações tendem a ser valores relevantes dentro das organizações, mesmo nas grandes companhias.

Quando se fala no custo das violações há alguns fatores que devem ser colocados nessa conta para conseguir chegar ao montante total. Custo de reputação, tempo inativo, de perda de propriedade intelectual, custos jurídicos, e pagamento de resgates no caso de ransomware são alguns dos fatores relevantes para entender o quão caro foi uma violação. A este cálculo ainda podemos incluir as eventuais multas que a LGPD agora em vigor poderá aplicar sobre as empresas. Somando todos esses valores podemos chegar a qual seria o custo de um ataque a uma organização, e comparar com qual o investimento em segurança que ele realiza ou deveria realizar para mitigar esses riscos. Normalmente vemos que o investimento preventivo em segurança é uma fração do custo de eventuais violações dentro dessas empresas.

A Coveware, empresa especializada em mitigação de impactos de ransomwares, nos traz que o custo médio de um ataque deste tipo no primeiro trimestre de 2021 foi de US$ 220.298 dólares, muito puxado por alguns ataques de grande escala que exigiram grandes resgates para a liberação dos sistemas, pois olhando para a mediana dos pagamentos no período o valor ainda é bastante considerável, ficando em US$ 78.398 dólares. Outro número relevante que ela mostra sobre este período é que o tempo médio de inatividade devido a estes ataques foi de 23 dias. É interessante notar como somente um ataque desse já iria exigir o pagamento de valores muito superiores aos do investimento das empresas em sistemas robustos de segurança, além de permanecer com a organização “parada” durante diversos dias, deixando os colaboradores longe de atividades que realmente geram receita para a empresa.

Nessa linha temos ainda o estudo da Cisco, Data Privacy Benchmark Study, de janeiro de 2020, revelando que a cada US$ 1 dólar investido em segurança digital, o ROI médio global de proteção de dados seria de US$ 2,7, um retorno percentual de 270% sobre os valores investidos. E esse valor fica ainda mais relevante quando consideramos apenas o Brasil, passando para 330%, ou US$ 3,3 dólares de ROI para cada dólar investido.

Atualmente, nenhuma organização está imune às ameaças digitais, dado um cenário de segurança em constante mudança e cada vez mais sofisticado da parte daqueles que atacam, trazendo custos monetários e também de reputação. A SolarWinds, por exemplo. A empresa de software de gerenciamento de TI foi alvo de um ataque sofisticado no qual hackers comprometeram uma atualização de um dos principais produtos da empresa e criaram uma backdoor para os ambientes de TI de quase 18.000 clientes.

O efeito na reputação da empresa foi desastroso junto a todos os clientes e ao mercado. Inúmeras manchetes apareceram rapidamente sobre a abordagem indiferente da empresa em relação à sua própria segurança cibernética, mas isso foi depois que o preço das ações da empresa caiu para US$ 14,18, após ser negociado por US$ 23,55, antes que a violação fosse divulgada.

Mesmo grandes empresas como a SolarWinds, com conhecimento profundo de TI para evitar esses ataques, são hackeadas. Isso nos mostra que, hoje, todos são alvos e podem sofrer ataques relevantes, e por isso devem investir de maneira inteligente em ambientes de segurança em suas organizações, pois investimentos que podem ser considerados grandes antes, se tornam insignificantes quando as violações acontecem.

0

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *