COMO O PODEMOS AJUDAR?

CONTACTO

CONTACTO

Quantificação do risco cibernético com base em dados

Um guia estratégico para CISOs

1. Cálculo do impacto dos incidentes cibernéticos

Continuemos a nossa jornada para entender como usar os dados para impulsionar as nossas decisões estratégicas no desenvolvimento e orçamentação da nossa estratégia de cibersegurança.

Houve várias tentativas de calcular o custo por hora de inatividade para uma organização que enfrenta um incidente cibernético (independentemente do tipo). Em 2014, um estudo da Gartner sobre o custo da inatividade estimou o valor em US$ 5.600 por minuto. Posteriormente, em 2016, o Ponemon Institute calculou o valor em US$ 9.000 por minuto.
Em 2014, um estudo da Gartner sobre o custo do tempo de inatividade apresentou uma estimativa de 5600 dólares por minuto. Mais tarde, em 2016, o Ponemon Institute estimou o valor em 9000 dólares por minuto.

Independentemente do setor, e embora varie de acordo com a empresa, um evento cibernético é sempre caro. No entanto, usar uma média derivada dos dados das empresas mais proeminentes pode não ajudar adequadamente um CISO a convencer o Conselho sobre a necessidade de investir em uma estratégia de cibersegurança. Portanto, para trazer algo realmente significativo para a sua organização, devemos usar uma calculadora e os dados da sua própria empresa.

Embora nem o Ponemon Institute nem a Gartner tenham revelado as fórmulas exatas que utilizam para quantificar os montantes financeiros decorrentes de violações de dados, indicaram claramente que tiveram em conta atividades legais, regulatórias e técnicas, bem como a estimativa da perda de valor da marca, a rotatividade de clientes e a redução da produtividade dos funcionários.

Fonte: IBM & Ponemon Institute, análise Apeiroo

Os números representam o custo em milhões de dólares americanos (USD) de uma violação de dados cibernéticos.

Todos estes elementos nos dão pistas sobre como realizar os nossos próprios cálculos financeiros em relação a eventos cibernéticos. Por uma questão de transparência, decidimos esclarecer um pouco esses componentes. Consideramos bastante lamentável que nenhum estudo anterior tenha publicado uma metodologia clara para que os CISOs possam calcular por si mesmos os custos de um incidente cibernético. A seguir, apresentamos a nossa tentativa de estimar o custo aproximado de incidentes cibernéticos, levando em consideração despesas diretas, indiretas e de oportunidade:

    • Custos diretos: o desembolso económico direto necessário para realizar uma determinada atividade (por exemplo, contratar consultores externos de resposta a incidentes, externalizar o suporte de uma linha telefónica).

    • Custos indirectos: o tempo, esforço e outros recursos organizacionais investidos, mas que não envolvem um desembolso direto de dinheiro (por exemplo, investigações internas, comunicações internas).

    • Custos de oportunidade: custos decorrentes de oportunidades de negócio perdidas como consequência dos efeitos negativos na reputação após a notificação da violação às vítimas e a sua divulgação pública nos meios de comunicação social.

1.1 Cálculo do custo da inatividade em salários

Calcular o impacto financeiro em termos de produtividade é um processo simples:

Passo 1: Determinar o salário médio por hora dos funcionários afetados. Esta informação pode ser facilmente obtida no departamento de recursos humanos. Uma estimativa média que não se afaste muito do valor validado é aceitável.

Passo 2: Determinar o fator de impacto na produtividade do evento de inatividade. (Por exemplo, se a ligação principal à Internet for perdida devido a um ataque de negação de serviço (DDoS) e não houver backup disponível, o que isso significaria para todos os departamentos?). Este fator pode variar de 10% a 100%, dependendo da natureza da interrupção e do tipo de trabalho realizado pelos funcionários afetados.

Custo da inatividade = E × I% × S

Onde:

- E = Número de funcionários afetados
- I% = Fator de produtividade (percentagem afetada pelo incidente)
- S = Salário médio por hora

Exemplo: Numa equipa de 500 profissionais a operar num modelo totalmente na nuvem, o cálculo seria: 87,97 USD (salário médio por hora) × 90% (nível assumido de impacto na produtividade) × 500 (funcionários afetados) = 39 586,50 $ por hora.

Este é o custo interno direto para a empresa, apenas em salários. Mas e os custos de conformidade e os custos de oportunidade?

1.2 O método do custo total

Se quisermos oferecer mais detalhes para descrever a magnitude do problema aos responsáveis pela tomada de decisões na organização, devemos dar alguns passos adicionais. Um método integral consiste em somar os custos internos diretos (dinheiro que a organização realmente perderá) aos custos de receita (a receita perdida que não pode ser cobrada dos clientes durante a inatividade).

Fórmula do custo de produtividade

Custo de produtividade = E × I% × C × H

Onde:

- E = Número de funcionários afetados
- I% = Porcentagem de afetação (por exemplo, eles podem continuar realizando 50% do seu trabalho mesmo que o acesso aos aplicativos seja interrompido?)
50 % de su trabajo incluso después de que se interrumpa el acceso a la aplicación?
- C = Custo médio por hora de um trabalhador para a empresa (incluindo um 30 % de
despesas gerais de formação, eletricidade, aluguer, etc.)
- H = Número de horas de inatividade

Fórmula de perda de receitas

Perda de receitas = (GR / AH) × I% × H

Onde:

- GR = Rendimento bruto (anual)
- AH = Número total de horas de trabalho (anual). Uma estimativa válida: 220 dias
× 8 horas = 1760 horas por trabalhador
- I% = Percentagem de impacto na capacidade de ganho
- H = Número de horas de inatividade

1Custos de recuperação e conformidade

O cálculo dos custos de recuperação e conformidade não tem uma fórmula objetiva, pelo que devemos utilizar estimativas discricionárias com base nas circunstâncias específicas da organização. As seguintes atividades devem ser consideradas ao elaborar a estimativa:

• Investigação do incidente: horas da equipa interna de TI e segurança, mais investigadores forenses externos, se necessário. Os encargos típicos de investigação forense variam entre 25 000 e mais de 250 000 USD, dependendo da complexidade.
• Determinação do alcance da violação de dados: identificação dos titulares dos dados afetados para possíveis notificações regulatórias e aos clientes. Isso geralmente requer ferramentas especializadas de mineração e análise de dados.
• Preparação das notificações e divulgações necessárias: honorários legais, apresentações regulatórias e custos de notificação aos clientes. Os custos por registo notificado variam normalmente entre 1 e 5 USD por indivíduo afetado, mais honorários legais entre 200 e 500 USD por hora.
• Serviços de monitorização de crédito e proteção de identidade: frequentemente exigidos ou esperados em violações que envolvem dados pessoais. Custos típicos: entre 10 e 30 dólares por pessoa afetada por ano.
Costes típicos: entre 10 y 30 dólares anuales por persona afectada.
• Remediação e fortalecimento de sistemas: Custos para corrigir vulnerabilidades, reconstruir sistemas comprometidos e implementar controles de segurança adicionais para evitar recorrências.
• Formação pós-incidente: Atualização de programas de sensibilização para a segurança e formação específica com base nas lições aprendidas.

1.4 Análise de custo-benefício: ROI do seguro e do contrato de prestação de serviços 

Os exemplos a seguir demonstram como investir em um seguro cibernético e em um retainer de resposta a incidentes pode superar significativamente os custos potenciais decorrentes da materialização de um risco cibernético em termos de inatividade empresarial.

Exemplo 1: Empresa de serviços financeiros de médio porte

Perfil da organização: 2.000 funcionários, 400 milhões de USD de receita anual, custo médio de violação na área da saúde: 10,1 milhões de USD (de acordo com a IBM/Ponemon) 500 empregados, 150 milhões de dólares em receitas anuais, salário médio de 95.000 dólares por ano (45,67 dólares por hora).

Investimento Custo anual
Segurança cibernética (cobertura de 5 milhões de dólares) 75,000$
Retentor de IR (100 horas/ano) 35,000$
Investimento anual total 110,000$

Custos potenciais de um incidente de ransomware de 48 horas (sem seguro):

- Perda de produtividade: 500 × 80 % × 45,67 $ × 48 = 877 000
- Perda de receitas: (150 milhões de dólares / 1760) × 75 % × 48 = 3 068 000
- Serviços de resposta a incidentes de emergência (sem taxa de retenção): 150 000
- Recuperação e reparação: 500 000 $
Exposição potencial total: 4 595 000 $

Retorno do investimento: ROI: O investimento anual de 110.000 USD representa apenas 2,4% da exposição potencial de um único incidente. Mesmo que a organização sofra apenas um incidente significativo a cada 5 anos, o investimento gera um retorno de 7,4:1.

Exemplo 2: Organização de saúde

Perfil da organização: 2.000 funcionários, 400 milhões de USD de receita anual, custo médio de violação na área da saúde: 10,1 milhões de USD (de acordo com a IBM/Ponemon) 2000 empleados, ingresos anuales de 400 millones de dólares, coste medio de las infracciones en el sector sanitario: 10,1 millones de dólares (según IBM/Ponemon)

Investimento recomendado:

- Seguro cibernético (cobertura de US$ 10 milhões): US$ 200.000/ano
- Retenções de relações públicas (200 horas por ano): 65 000 dólares por ano
- Total: 265 000 USD por ano (2,6 % do custo médio de uma infração)

Dado o elevado custo das violações no setor de saúde e a exposição regulatória sob a HIPAA, esse investimento oferece proteção financeira crítica enquanto a organização desenvolve a maturidade do seu programa de segurança.

Referências

    1. Allianz Risk Barometer (2012-2024). Pesquisa Anual Global de Risco Empresarial. Allianz Global Corporate & Specialty.
      empresariales globales. Allianz Global Corporate & Specialty.
      2. IBM Security & Ponemon Institute. Relatório sobre o custo de uma violação de dados (2013-2024).
      (2013-2024).
      3. Cybereason (2022). “Ransomware: The True Cost to Business.”
      https://www.cybereason.com/ransomware-the-true-cost-to-business-2022
      4. Allianz Global Corporate & Specialty (2015). “A Guide to Cyber Risk: Managing the Impact of Increasing Interconnectivity.”
      gestión del impacto de la creciente interconectividad».
      5. Financial Times. “Gestores de risco alertam que o seguro cibernético pode se tornar um produto inviável.”
      podrían convertirse en un producto inviable».
      6. Gartner (2014). «O custo do tempo de inatividade».
      7. Ponemon Institute (2016). “Custo das interrupções no centro de dados.”
      datos».