A concorrência agradece a quem não investe em um programa de privacidade

Custo-benefício é um conceito clássico do dicionário financeiro e abrange a ideia de que pessoas e empresas compram ou contratam aquilo em que os benefícios são maiores que os custos. O problema é quando o julgamento dos benefícios e custos são calibrados a partir de critérios ainda desconhecidos por uma organização, em um mundo com desafios novos a cada minuto.

A IBM Security and Ponemon Institute (IBM) apresentou a pesquisa Cost of Data Breach Report 2022, realizada com mais de 550 empresas em 17 países e regiões (incluindo Alemanha, Estados Unidos, Canadá, Reino Unido, Japão, Brasil, América Latina e Oriente Médio) e que traz números reveladores em relação ao custo de uma violação de dados pessoais.

Os Estados Unidos apresentaram o maior custo médio para os casos de Data Breach, seguido pelo Oriente Médio. O Brasil apareceu em 16º lugar, com 1,3 milhões de dólares relacionados ao custo com incidentes de segurança que envolveram dados pessoais — aumento de 27,8% comparado ao ano anterior, e o maior aumento de custo relativo comparado aos outros países.

Na pesquisa, a IBM apontou que o custo médio global de uma violação de dados pessoais aumentou em US$ 0,11 milhão, saltando de US$ 4,24 para US$ 4,35 milhões em 2022, o maior valor já registrado na história do relatório. No cenário apresentado, a tendência é de que esses custos continuem subindo ano após ano.

A pesquisa Cost of Data Breach Report 2022 identificou que muitas violações que apresentaram custos mais altos — cerca de US$ 1 milhão a mais do que o custo médio — envolveram casos de infraestrutura crítica de serviços dos setores financeiro, industrial, energia, transporte, comunicação, saúde, educação e o setor público.

Custos
A composição do custo de um Data Breach é baseada em despesas imediatas e de longo prazo. De acordo com a IBM, 28 fatores foram analisados e divididos em quatro grupos: 1) detecção e escala; 2) notificação; 3) resposta pós-violação, e; 4) perda de negócios.

Entre os grupos acima, o custo de detecção e escala, incluindo atividades que permitem à empresa detectar uma violação, contratar equipe forense e investigação, investir em serviços de avaliação e auditoria, gerenciar crises e criar comunicação para executivos e conselhos, superou os demais.

Na mesma medida em que a pesquisa apresenta os custos de uma violação de dados pessoais, a IBM traz as principais causas que levam a um Data Breach, bem como insights sobre como mitigar eventuais prejuízos e diminuir despesas. Além disso, pela primeira vez, o relatório mediu o impacto da existência de equipes de gerenciamento de crise nas empresas que experimentaram violações de dados pessoais.

Nesse cenário de mitigação de prejuízos, foram três os fatores associados a investimentos e estratégias preventivas que levaram as organizações a menores perdas em comparação com o custo médio de uma violação: 1) empresas com alto nível de uso de plataformas de segurança com Inteligência Artificial apresentaram os menores custos em relação àquelas que investiram pouco; 2) organizações com alto nível de uso de uma equipe de Resposta a Incidentes apareceram logo em seguida, e; 3) companhias com alto nível de uso de abordagem DevSecOps, ou desenvolvedores que enfatizam o desenvolvimento de códigos levando em conta a segurança, apareceram na terceira posição.

Investimento em equipes de gestão de crise
Não dá para brigar com os números. Ainda que a maior parte dos fatores relacionados ao custo de violações esteja concentrada na rubrica de cibersegurança, é a equipe de gestão de crise quem irá liderar as medidas técnicas e administrativas nas atividades de prevenção, resposta a incidentes e continuidade do negócio. São investimentos, preferencialmente, indissociáveis. Se forem levados em consideração os custos de detecção e escalação, que incluem o gerenciamento de crise, e o fator de redução de custos relacionados à existência de uma equipe de Resposta a Incidentes, deve-se ressaltar que muitas organizações ainda não contam com um time de especialistas em programa de privacidade.

De todas as organizações pesquisadas pela IBM, 62% informaram que suas equipes não possuíam habilidades especiais. Essas empresas apresentaram custo de violação de dados 12,8% acima da média — 4,5 milhões de dólares, uma diferença de 0,55 milhão quando comparado às empresas que contam com uma equipe especializada.

Por que investir em cibersegurança? Por que contratar uma equipe especializada em privacidade e dedicar tempo e dinheiro no desenvolvimento de Programas de Privacidade, uma vez que as organizações contam com profissionais focados em Segurança da Informação?

Talvez, ao perseguir o maior custo-benefício, alguns líderes optam por escolhas mais baratas e/ou por "soluções caseiras", sem observar as especificidades das questões envolvendo proteção de dados pessoais. Ou pior: ficam inertes, não investem ou investem mal.

Equipe especializada é o melhor custo-benefício
Conforme indica a pesquisa Cost of Data Breach Report, as organizações precisam contar com equipes multidisciplinares e habilidades adequadas para evitar maiores prejuízos, que vão além da existência de uma área de segurança da informação dotada de programas de cibersegurança baseados em Inteligência Artificial, bem como de um setor de compliance e/ou de uma área jurídica.

À luz da Lei Geral de Proteção de Dados (LGPD), não se trata também da mera nomeação de um Encarregado pelo tratamento de dados pessoais ou Data Protection Officer (DPO), cuja nomeação é uma obrigação legal para todas as empresas de grande porte e para algumas pequenas e médias empresas que tratam dados pessoais. O Encarregado, nesse contexto, será uma peça importante da engrenagem, contribuindo com profundo conhecimento regulatório e no gerenciamento de atividades que identificam e mitigam riscos, ameaças e impactos nas operações de tratamento de dados pessoais.

A meta e o grande desafio das organizações é oferecer recursos técnicos, incluindo sistemas de cibersegurança, e administrativos, como equipe, para o DPO coordenar ações positivas com colaboradores e stakeholders de diversos setores da empresa, como área de segurança da informação, compliance, jurídico, RH, marketing e comunicação, compras etc.

A tarefa não é simples, demanda conhecimento e traz benefícios a médio e longo prazos. O objetivo do trabalho é fazer com que todos abracem a proteção de dados pessoais e transformem a privacidade em mais um elemento cultural na organização. O resultado esperado dessa decisão de investir em equipe especializada é criar um ecossistema adequado para desenhar um Programa de Privacidade e preparar a empresa no enfrentamento de violações de dados pessoais com custos cada vez mais baixos.

Gestão de riscos, ameaças e impactos
Adicionalmente, observando o gerenciamento de crises, a pesquisa aponta que, das 550 organizações, 53% não desenvolveram programas que priorizam riscos, ameaças e impactos. Essas empresas apresentaram custo médio de violação em torno de 5,4 milhões de dólares, 48,3% a mais do que as empresas que informaram priorizar.

Para gerenciar crises, riscos, ameaças e impactos de maneira eficaz, convém estabelecer uma estrutura de projeto por meio do desenvolvimento e uso de ferramentas apropriadas — como frameworks — que agreguem medidas técnicas e administrativas, obrigações legais, normas setoriais e normas de boas práticas.

Convém também que estes frameworks sejam apenas o pontapé que delineiam as bases para o desenvolvimento de um Programa de Privacidade adaptado às peculiaridades do negócio, capaz de avaliar e monitorar a criticidade das atividades de tratamento, apoiando eventuais atividades de mitigação de riscos, a contratação de sistemas de segurança baseados em Inteligência Artificial e de auditorias externas, a elaboração de comunicação para executivos e conselhos, a comunicação para notificação de titulares de dados e para a ANPD, bem como mantenha um desenho cíclico, contínuo e adaptável às mudanças legislativas e de mercado.

Em tempo, o relatório da IBM aponta que 60% das empresas que experimentaram um incidente admitiram repassar esses custos para o cliente, que paga cada vez mais caro. Na busca pela melhor relação de custo-benefício sem calibrar as especificidades dos novos desafios relacionados à violação de dados pessoais, é a concorrência que agradece.