O alto volume de ataques ransomware tem intensificado as ameaças de vazamento de dados – caso os resgates não sejam pagos. A questão é que os atacantes fazem chantagem com suas vítimas ameaçando divulgar ao mercado ou vender informações confidenciais. Nesse sentido, os ataques ransomware precisam ser classificados como violações de dados. E, sobre violação de dados, do lado regulatório, a Lei Geral de Proteção de Dados (LGPD) é outro fator que tem colocado pressão nas equipes de segurança e compliance – com intuito de evitar multas milionárias às empresas.
Embora as companhias com alto faturamento e de grande porte não precisem fechar suas portas por conta de um incidente cibernético, é impossível saírem ilesas ou não sofrerem consequências graves. De acordo com a pesquisa divulgada recentemente pela IBM, o custo médio de um incidente de vazamento de dados em 2022 é de US$ 4,35 milhões (R$ 23 milhões), 2,6% acima do registrado no ano passado.
Mas o custo financeiro não é a única consequência de uma violação de dados. Os custos envolvem danos causados pelo incidente em si, ou seja, perdas derivadas da fuga de dados críticos, continuidade de negócio e custos associados à intervenção de especialistas para resolver o incidente. Também podemos incluir os custos não planificados, o que significa os gastos realizados para prevenir futuros ataques, adicionando a contratação e a capacitação de pessoal, aquisições em hardware, software e outras atualizações na infraestrutura.
Ainda, com base em casos que já acompanhei, coloco aqui fatores que normalmente não são levados em conta na hora de planejar um projeto de cibersegurança:
1- Uma violação de dados pode colocar o CEO contra o CISO
Os incidentes cibernéticos colocam a liderança no centro das atenções, e não de um jeito positivo. Uma violação massiva em uma empresa conhecida ou em uma organização que lida com dados confidenciais de dezenas de milhões de pessoas pode comprometer o trabalho de um CISO. Como representante da empresa, o CEO é quem precisará se justificar, tanto perante consumidores – com sérios impactos à reputação da marca – quanto aos acionistas, que além de tudo, absorvem também os danos financeiros.
2 – Consequências relacionadas à imagem corporativa
Para algumas empresas, especialmente PMEs, o revés causado por um ataque cibernético pode gerar um prejuízo à imagem/credibilidade ainda maior e mais difícil de se recuperar do que o dano financeiro. Após um incidente de vazamento de dados, os diretores de comunicação (CCO) e de marketing (CMO) passarão meses, ou até anos, fiscalizando todas as notícias, estatísticas de busca do nome da empresa associado a termos negativos como ‘violação de dados’; monitorando mídias sociais; entre outras iniciativas focadas no controle dos estragos de reputação.
3 – Queda nas vendas
De acordo com um estudo da Zoho, conduzido pela plataforma Toluna, 48% dos entrevistados deixariam de comprar em uma empresa se descobrissem que ela já sofreu um ataque cibernético. Danos à reputação levam à perda de clientes e, por sua vez, à diminuição das vendas. Quando a confiança em um negócio é abalada, eles passam a procurar por concorrentes isentos de quaisquer histórico com incidentes cibernéticos. Enquanto a equipe de marketing está analisando a restauração da marca, a equipe de vendas fica na linha de frente respondendo a questionamentos sobre a segurança cibernética da empresa – um ponto de atenção e de fragilidade – caso não haja muitas novidades a serem compartilhadas.
4 – Despesas inesperadas
Para o diretor financeiro (CFO), uma violação de dados pode afetar o planejamento de custos, com novos investimentos necessários em ferramentas, pessoas e, em muitos casos, uma empresa externa de serviços de cibersegurança. Mesmo que haja seguro contra violações e ataques cibernéticos, as reivindicações de incidentes são complicadas e podem não cobrir os custos. Há também a perda de renda no tempo de inatividade na produção. No final, é preciso decidir sobre pagar ou não um resgate, o que não é garantia de devolução dos dados, e entender como a empresa pode arcar com os prejuízos financeiros. Ainda é necessário levar em conta possíveis multas que podem atingir valores na casa de milhões, dependendo da aplicação da lei.
5 – Menos atraente para novos funcionários, especialmente em cargos de tecnologia
Uma violação de dados resultará em rotatividade de colaboradores, especialmente para cargos executivos e de tecnologia. O diretor de Recursos Humanos (CHRO) terá que lidar com pessoas com problemas de saúde devido ao estresse de um ataque, outros que irão pedir demissão pela pressão e talvez demissões sejam necessárias. Novos talentos na área de TI são cada vez mais difíceis de encontrar, ainda mais os especialistas em cibersegurança que são disputadíssimos pelo mercado. Esses novos talentos podem recusar a oportunidade na empresa pelo histórico de ataques, dificultando ainda mais o processo de recuperação de talentos.
6 – Penalidades legais
A equipe jurídica e seu CLO também enfrentam desdobramentos pós-violação. Se a organização tiver de lidar com litígios decorrentes do ataque, o setor precisará de um investimento extra e irá utilizar centenas ou milhares de horas preparando resumos, analisando documentos e relatórios forenses para encontrar recursos a fim de resguardar a empresa. Terá também que lidar com questões da LGPD, possíveis processos de clientes, acionistas e outras tarefas que podem se prolongar por anos.
Uma violação de dados representa muito mais do que um comprometimento das informações confidenciais. As responsabilidades para recuperação vão além da equipe de TI, envolvendo setores financeiro, RH, comunicação, legal, operações, produção, enfim, a empresa inteira terá que se comprometer em resgatar sua credibilidade.
*Matéria disponível em: https://www.securityreport.com.br/overview/seis-potenciais-impactos-de-uma-violacao-de-dados/#.YzsdjnbMI2x
