Relatório 2013 da Symantec sobre o Custo do
Vazamento de Dados - Brasil
Estudo comparativo patrocinado pela Symantec
Conduzido independentemente pelo Ponemon Institute LLC
Maio de 2013
Relatório do Ponemon Institute©
Relatório 2013 da Symantec sobre o Custo do Vazamento de Dados - Brasil
Ponemon Institute, Maio de 2013
Parte 1. Sumário executivo
A Symantec Corporation e o Ponemon Institute têm a satisfação de apresentar o Relatório 2013 da
Symantec sobre o Custo do Vazamento de Dados - Brasil, nosso primeiro estudo comparativo
(benchmark study) sobre o custo dos incidentes de vazamento de dados em empresas localizadas
no Brasil. Neste estudo inaugural, o custo médio per capita da violação de dados foi de R$116,00.
O Ponemon Institute realizou seu primeiro estudo sobre Custo de Vazamento de Dados nos
Estados Unidos há oito anos. Desde então, expandimos a pesquisa para incluir Reino Unido,
Alemanha, França, Austrália, Índia, Itália e Japão.
O estudo deste ano analisou os custos de violações em 31 empresas brasileiras de 11 setores
da economia após experimentarem a perda ou o roubo de dados pessoais protegidos e terem
que notificar as vítimas, conforme exigido por várias leis. É importante observar que os custos
apresentados na pesquisa não são hipotéticos, mas resultantes de incidentes reais de perda de
dados. Eles se baseiam em estimativas fornecidas pelos entrevistados durante um período de 10
meses nas empresas representadas no estudo.
Neste ano, o número de registros violados por incidente variou entre aproximadamente 2.300 e
mais de 89.000 registros. O número médio de registros violados foi 22.847. Isso não inclui
organizações com violações de dados superiores a 100.000, porque elas não são
representativas da maioria dos casos. Incluí-las no estudo distorceria os resultados. O custo dos
31 casos de violação de dados estudados no relatório deste ano é apresentado no Apêndice 1.
O relatório examinou um vasto conjunto de custos para os negócios, incluindo despesas com
detecção, escalonamento, notificação e respostas pós-incidente. Analisamos também o impacto
econômico da perda ou redução da confiança dos clientes, medida pela rotatividade ou fuga de
clientes.
A seguir estão as conclusões e implicações mais interessantes para as organizações:

A violação de dados impõe um ônus financeiro substancial para as empresas
brasileiras. O custo total médio de um incidente de violação de dados foi de R$ 2,64
milhões. O custo máximo do vazamento de dados entre as 31 empresas sediadas no Brasil
foi de R$ 9,74 milhões e o custo mínimo foi de R$230 mil. Em média, custou às empresas
R$ 116 por registro violado. No contexto desta pesquisa, definimos um registro como uma
informação que identifica uma pessoa física (indivíduo) e que pode ficar comprometida pela
violação de informações.

A perda de negócios representa a categoria com maior custo gerado pelo vazamento
de dados. Esses custos se referem à rotatividade anormal de clientes, ao aumento das
atividades de prospecção, à perda de reputação e à queda no relacionamento. O custo
médio da perda de negócios foi de R$1.03 milhão ou 39 por cento do custo total do
vazamento de dados. A taxa média de rotatividade anormal foi de 2,4 por cento com um
índice mínimo de rotatividade de zero e máximo de 6,5 por cento.

Notificação representa a categoria com menor custo gerado pela violação de dados.
Notificação se refere às medidas tomadas para informar às pessoas apropriadas sobre o
vazamento de informações protegidas dentro de um período de tempo específico. O custo
para notificar as vítimas e/ou autoridades reguladoras sobre a violação foi de R$106,125
reais ou apenas quatro por cento do custo total médio.

Certos setores têm custos de violação de dados mais elevados. Os resultados da
pesquisa sugerem que os custos de violação de dados variam consideravelmente por setor.
Relatório do Ponemon Institute©
Página 1
Neste estudo, empresas de comunicação, financeiras e farmacêuticas tenderam a ter um
elevado custo per capita gerado pela violação de dados. Por outro lado, o setor público
(governo), de transporte, empresas de consumo e de varejo tenderam a ter um baixo custo
per capita.

Negligência de funcionários ou terceirizados é a principal causa das violações de
dados. Quarenta e dois por cento das empresas afirmaram que os incidentes de violação de
dados foram causados por erros ou enganos de funcionários. Outros 35 por cento disseram
que o incidente foi causado por falhas no sistema ou nos processos de negócio. Vinte e três
por cento relataram que os ataques dolosos ou criminosos contra a organização foram a
principal causa das violações.

Ataques dolosos ou criminosos resultam no mais alto custo per capita gerado pela
violação de dados. Consistente com estudos de outros países, a perda ou o vazamento de
dados resultantes de um ataque doloso ou criminoso geraram o custo mais elevado, R$143
por registro violado, em média. Por outro lado, falhas no sistema e erros de funcionários
resultaram em um custo muito mais baixo per capita, de R$109 e R$107, respectivamente.

Certos fatores organizacionais diminuem os custos da violação de dados. Se a
organização tiver uma postura de segurança sólida, o custo médio de uma violação de
dados cai para R$19 por registro violado. Além disso, planejar-se antecipadamente para a
violação e nomear um Diretor de Segurança da Informação poupa R$11 e R$6,
respectivamente. Por fim, envolver consultores externos para ajudar na resposta à violação
gera uma economia de R$5 por registro comprometido.

Certos fatores organizacionais aumentam os custos gerais de vazamento de dados.
Por exemplo, as violações de dados causadas por terceiros aumentaram o custo per capita
em R$20. Além disso, os incidentes de violação envolvendo a perda ou o roubo de dados
com dispositivos aumentaram o custo per capita em R$11 por registro. Por fim, as
organizações que notificaram os clientes muito rapidamente, sem uma cuidadosa avaliação
ou exame forense, tiveram R$6 de custo extra por registro violado, em média.
Relatório do Ponemon Institute©
Página 2
Perguntas frequentes - Custo da Vazamento de Dados
Como os dados foram coletados?
Os pesquisadores do Ponemon Institute coletaram os dados qualitativos em profundidade por
meio de entrevistas realizadas ao longo de um período de 10 meses. O recrutamento das
organizações para o estudo começou em Janeiro de 2012 e as entrevistas foram concluídas em
Dezembro do mesmo ano. Em cada uma das 31 organizações participantes, conversamos com
profissionais das áreas de TI, conformidade e segurança da informação que estavam bem
informados sobre a violação de dados em suas organizações e os custos associados para
resolver o incidente. Por questões de privacidade, não coletamos quaisquer informações
específicas da organização.
Como os custos dos vazamentos de dados foram calculados?
Para calcular o custo médio do vazamento de dados, coletamos os gastos diretos e indiretos aos
quais a organização esteve exposta. Despesas diretas incluem o envolvimento de peritos
forenses, a terceirização de uma linha direta para atendimento e a oferta de assinaturas gratuitas
para monitoramento de crédito e descontos para futuros produtos e serviços. Custos indiretos
incluem investigações internas e comunicação bem como o valor extrapolado da perda de
clientes, resultantes das taxas de rotatividade ou queda das prospecções. Para ter uma
explicação detalhada sobre a metodologia de referência do Ponemon Institute, consulte a Parte 4
deste relatório.
Como o estudo comparativo (benchmark research) se difere da pesquisa de opinião
(survey research)?
A unidade de análise do estudo Symantec sobre o Custo do Vazamento de Dados é a
organização. Na pesquisa de opinião, a unidade de análise é tipicamente o indivíduo. Como
discutido anteriormente, foram recrutadas 31 organizações para participar deste estudo. Todas
essas organizações experimentaram uma violação de dados com número de registros
comprometidos variando de cerca de 2.300 a quase 100.000.
O custo médio do vazamento de dados pode ser usado para calcular as consequências
financeiras de uma megaviolação como as que envolvem milhões de registros perdidos
ou roubados?
O custo médio de uma violação de dados em nossa pesquisa não se aplica às megaviolações ou
eventos catastróficos porque eles não são comuns na maioria das organizações. Para ser
representativa do conjunto de organizações brasileiras e gerar conclusões que possam ser úteis
para compreender os custos relacionados com informações protegidas perdidas ou roubadas,
não incluímos em nossa análise vazamentos de dados com mais de 100.000 registros
comprometidos.
Vocês estão acompanhando as mesmas organizações a cada ano?
Cada estudo anual envolve uma amostra diferente de empresas. Em outras palavras, não
estamos acompanhando a mesma amostra de empresas ao longo do tempo. Para ser
consistente, recrutamos e comparamos empresas com características semelhantes que, por
exemplo, pertençam ao mesmo setor e tenham o mesmo número de funcionários, a mesma
presença geográfica e o mesmo volume de vazamento de dados.
Relatório do Ponemon Institute©
Página 3
Parte 2. Principais conclusões
Nesta seção, apresentamos os resultados detalhados da pesquisa. Os tópicos são apresentados
na seguinte ordem









Custo do vazamento de dados por registro e por organização
Custo do vazamento de dados por setor
Elementos causadores de um vazamento de dados
Fatores que influenciam o custo de um vazamento de dados
Tendências na frequência dos registros violados
Tendências no volume de rotatividade ou perda de clientes
Tendências nos seguintes componentes dos custos: detecção e escalonamento, notificação,
perda de negócios, diretos e indiretos e pós-violação de dados
Medidas de prevenção tomadas após a violação
Porcentagens das categorias de custo
O custo per capita do vazamento de dados. A figura 1 mostra o custo per capita médio de um
1
vazamento de dados nas 31 empresas brasileiras em 2012 . De acordo com os resultados, as
violações de dados custaram às empresas uma média de R$116 por registro comprometido –
dos quais R$45 foram referentes ao custo da perda de negócios. Os custos das respostas pósevento e da detecção e escalonamento foram de R$35 e R$31, respectivamente. Os custos de
notificação representaram apenas R$5 por registro violado.
Figura 1. Custo per capita médio
Medido em R$
140
116
120
100
80
60
45
40
35
31
20
5
Detecção
Detection &
& Escalonamento
escalation
Notificação
Notification
Resposta
Ex-post
response
pós-evento
Perda
de
Lost
business
Negócios
Total
Total
1
Custo per capita é definido como o custo total da vazamento de dados dividido pelo tamanho da violação
de dados em termos de número de registros perdidos ou roubados.
Relatório do Ponemon Institute©
Página 4
Custo organizacional total do vazamento de dados. A figura 2 mostra que o custo médio total
do vazamento de dados nas 31 empresas brasileiras em 2012 foi de R$ 2,64 milhões. O maior
componente do custo foi a perda de negócios, totalizando R$1.03 milhão em média. O menor
componente do custo foi a notificação, R$11 em média.
Figura 2. Custo organizacional total médio do vazamento de dados
R$ 000.000 omitido
3.00
2.64
2.50
2.00
1.50
1.03
1.00
0.79
0.72
0.50
0.11
Detecção
Detection &
& Escalonamento
escalation
Notificação
Notification
Resposta
Ex-post
response
pós-evento
de
LostPerda
business
negócios
Total
Total
Principais medidas do custo de vazamento de dados. A figura 3 mostra o custo total médio,
máximo, mediano e mínimo da violação de dados. Como pode ser visto, há uma ampla gama de
possíveis consequências do custo em nossa amostra de 31 empresas brasileiras. O incidente de
violação de dados mais caro custou mais de R$9.7 milhões. O menos oneroso custou R$230 mil.
Figura 3. Medidas do custo de vazamento de dados
Em R$
Maximum
Máximo
9.735.941
Average
Médio
2.643,805
Mediano
Median
1.652,198
Mínimo
Minimum
229.688
-
2,000,000
Relatório do Ponemon Institute©
4,000,000
6,000,000
8,000,000
10,000,000
12,000,000
Página 5
Certos setores têm custos mais elevados de vazamento de dados. A figura 4 mostra os
custos per capita para o estudo de 2012 por setor. Ainda que o tamanho reduzido da amostra
nos impeça de generalizar as diferenças de custo por setor, o padrão de resultados de 2012 por
setor é consistente com os estudos de outros países. Especificamente, os segmentos fortemente
regulamentados, como os de comunicação, serviços financeiros e produtos farmacêuticos,
tiveram um custo de vazamento de dados per capita substancialmente acima da média geral de
R$116. O setor público, de transporte, as empresas de consumo e de varejo tiveram um custo
per capita bem abaixo do valor médio geral.
Figura 4. Custo per capita por setor das companhias avaliadas
Medido em R$
Communications
Comunicação
173
Financial
Finanças
151
Pharmaceutical
Farmacêutico
150
Technology
Tecnologia
147
Industrial
Indústria
105
Services
Serviços
103
Energy
Energia
98
Retail
Varejo
97
Consumer
Consumo
96
Transportation
Transporte
86
Public
sector
Setor
público
65
0
20
40
60
80
100
120
140
160
180
200
Negligência de funcionários ou de pessoal contratado (também conhecido como fator
2
humano) é a causa mais frequente do vazamento de dados. A figura 5 fornece um resumo dos
principais elementos causadores do vazamento de dados para todas as 31 organizações. Quarenta e
dois por cento dos incidentes envolveram um funcionário negligente e 35 por cento envolveram
falhas de sistema, que incluíram tanto falhas de TI quanto nos processos de negócio. Vinte e três por
3
cento desses incidentes envolveram roubo de dados (vazamento) ou uso criminoso dos mesmos.
2
Internos negligentes são indivíduos que causam um vazamento de dados por causa da falta de cuidado, conforme
determinado em uma pesquisa sobre investigação de vazamento de dados. Ataques dolosos podem ser causados por
hackers ou criminosos internos (funcionários, contratados ou terceiros).
3
Os tipos mais comuns de ataques dolosos ou criminosos incluem infecções por malware, criminosos internos,
engenharia social/phishing e injeção de SQL.
Relatório do Ponemon Institute©
Página 6
Figura 5. Distribuição da amostra analisada por elemento causador do vazamento de
dados
23%
42%
Malicious
or criminal
attack
Ataque doloso
ou criminoso
Falha no
sistema
System
glitch
Fator humano
Human
factor
35%
Ataques dolosos são mais onerosos. A figura 6 mostra o custo per capita do vazamento de dados
para três elementos causadores de incidentes de violação. Os resultados de 2012 são consistentes
com estudos prévios em outros países, em que os vazamentos mais onerosos normalmente
envolveram atos dolosos contra a empresa. De acordo com nossa pesquisa, as empresas que
passaram por tal incidente tiveram um custo per capita de violação de dados (R$143)
significativamente acima da média. Por outro lado, empresas que tiveram falhas no sistema (R$109)
ou casos de negligência de funcionários (R$107) como elemento causador do incidente de violação
de dados apresentaram custos per capita significativamente abaixo do valor médio.
Figura 6. Custo per capita para três elementos causadores da violação de dados
Medido em R$
160
143
140
120
109
107
System
glitch
Falha
no sistema
Human
factor
Fator humano
100
80
60
40
20
0
Malicious
or criminal
attack
Ataque
doloso
ou criminoso
Relatório do Ponemon Institute©
Página 7
FATORES QUE INFLUENCIAM O CUSTO DA VIOLAÇÃO DE DADOS. Identificamos sete fatores
que influenciam as consequências de um incidente de violação de dados em custo. Esses atributos
são os seguintes:

A empresa tinha um plano de gestão de incidentes. Vinte e seis por cento das organizações
em nossa amostra tinham um plano de gestão de incidentes na ocasião da violação de dados.

A empresa tinha uma postura de segurança relativamente sólida na ocasião do incidente.
Trinta e cinco por cento das organizações tinham um índice de eficácia em segurança (SES Security Effectiveness Score) igual ou acima da média normativa. Medimos a postura de
4
segurança de cada empresa participante usando o SES como parte do processo comparativo.

O CISO (ou título equivalente) tinha a responsabilidade geral pela proteção dos dados
empresariais. Trinta e dois por cento das organizações tinham uma gestão centralizada
para a proteção de dados com um profissional de segurança de informação de nível C.

Os dados foram perdidos devido a erro de terceiros. Trinta e nove por cento das
organizações tiveram uma violação de dados causada por terceiros, como fornecedores,
prestadores de serviços e parceiros de negócios.

A empresa notificou as vítimas da violação de dados rapidamente. Trinta e dois por
cento das organizações notificaram as vítimas da violação de dados no prazo de 30 dias
após a descoberta do roubo ou da perda de dados.

A violação de dados envolveu dispositivos perdidos ou roubados. Quarenta e dois por
cento das organizações tiveram uma violação de dados como resultado da perda ou do
roubo de um dispositivo móvel, incluindo notebooks, desktops, smartphones, tablets,
servidores e unidades USB contendo informações confidenciais ou críticas.

Consultores foram contratados para ajudar a remediar a violação de dados. Vinte e três
por cento das organizações contrataram consultores para ajudar na resposta e na
remediação da violação de dados.
Como mostrado a seguir na figura 7, uma postura de segurança sólida, planos de resposta a
incidentes, nomeações de CISO e apoio de consultorias diminuíram o custo per capita da
violação de dados. No entanto, erros de terceiros, notificação acelerada e dispositivos perdidos
ou roubados aumentaram o custo per capita. Uma postura de segurança sólida reduziu o custo
médio da violação de dados de R$116 para R$97 (redução de R$19). Em compensação, o erro
de terceiros aumentou o custo médio para R$136 (aumento de R$20).
4
O Security Effectiveness Score foi desenvolvido pelo Ponemon Institute em sua pesquisa anual de tendências de
criptografia para definir a postura de segurança das organizações participantes. O SES é derivado da classificação de 24
elementos ou práticas de segurança. Esse método foi validado por mais de 40 estudos independentes realizados desde
junho de 2005. O SES trabalha com um intervalo de + 2 (mais favorável) a -2 (menos favorável). Assim, um resultado
maior que zero é visto como favorável.
Relatório do Ponemon Institute©
Página 8
Figura 7. Impacto de sete fatores no custo per capita do vazamento de dados
Medido em R$
Erro
departy
terceiros
Third
error
20
Perda ou roubo
dispositivos
Lost ordestolen
devices
11
Notificação
Quick acelerada
notification
6
Envolvimento
de consultores
Consultants
engaged
(5)
Nomeação
de CISO
CISO appointment
(6)
Plano de Incident
respostaresponse
a incidentes
plan
Postura
de segurança
sólida
Strong
security posture
(11)
(19)
(25) (20) (15) (10)
(5)
-
5
10
15
20
25
Quanto mais registros perdidos, maior o custo do vazamento de dados. A figura 8 mostra a
relação entre o custo total da violação de dados e o tamanho do incidente nas 31 empresas
analisadas em ordem crescente por tamanho do incidente. A linha de regressão indica
claramente que o tamanho do incidente de violação de dados e o custo total estão linearmente
relacionados. No estudo deste ano, o custo variou entre R$230 mil e R$9.7 milhões.
Figura 8. Custo total por tamanho da violação de dados
Regressão = Intercepção + {Tamanho da violação evento} x , onde  denota a inclinação
Medido em R$
12,000,000
10,000,000
9,735,941
8,000,000
6,000,000
4,000,000
2,000,000
1
3
5
7
9
11 13 15 17 19 21 23 25 27
Ordem crescente por tamanho da violação de dados
Total
Relatório do Ponemon Institute©
29
31
Regression
Regressão
Página 9
Quanto maior a rotatividade, maior o custo per capita do vazamento de dados. A figura 9
mostra a distribuição dos custos per capita do vazamento de dados em ordem crescente de
rotatividade anormal. A linha de regressão está inclinada para cima, o que sugere que a
rotatividade anormal e o custo per capita estão linearmente relacionados. Esse padrão de
resultados é consistente com estudos comparativos realizados em outros países.
Figura 9. Distribuição das taxas de rotatividade anormal em ordem crescente por custos
per capita
Regressão = Intercepção + {Tamanho da rotatividade anormal} x , onde  denota a inclinação
Medida em R$
250
220
200
150
100
50
0
1
3
5
7
9
11 13 15 17 19 21 23 25
Ascending
order
abnormal
churn rate
Ordem crescente
porby
taxa
de rotatividade
anormal
Per Capita
Relatório do Ponemon Institute©
27
29
31
Regression
Regressão
Página 10
Certos setores são mais vulneráveis à rotatividade. A figura 10 mostra a taxa de rotatividade
anormal das organizações analisadas no estudo. Ainda que o tamanho reduzido da amostra nos
impeça de generalizar a influência do setor nas taxas de rotatividade anormal, nossos resultados
mostram uma variação acentuada – as organizações financeiras, de comunicação e serviços
experimentaram uma rotatividade anormal relativamente alta enquanto o setor público e as
5
empresas de varejo tiveram uma taxa de rotatividade anormal muito baixa.
A implicação desses resultados é que os setores com as maiores taxas de rotatividade poderiam
reduzir significativamente os custos de uma violação de dados, dando ênfase na retenção de
clientes e atividades para preservar a reputação e o valor da marca.
Figura 10. Taxas de rotatividade anormal por setor das empresas analisadas
Financial
Finanças
5.1%
Communications
Comunicação
4.1%
Services
Serviços
3.6%
Indústria
Industrial
2.1%
Farmacêutico
Pharmaceutical
1.9%
Tecnologia
Technology
1.5%
Consumo
Consumer
1.4%
Energia
Energy
1.4%
Transporte
Transportation
1.2%
Varejo
Retail
Setor
público
Public
sector
0.6%
0.0%
0.0%
1.0%
2.0%
3.0%
4.0%
5.0%
6.0%
5
As organizações do setor público utilizam um esquema de rotatividade diferente, dado que os clientes dos
órgãos governamentais normalmente não têm uma alternativa.
Relatório do Ponemon Institute©
Página 11
Custos de detecção e escalonamento. A figura 11 mostra os custos associados à detecção e
ao escalonamento dos incidentes de vazamento de dados. Tais custos incluem tipicamente
atividades forenses e de investigação, serviços de avaliação e auditoria, gestão de equipe de
crise e comunicação com a diretoria executiva e conselhos de administração. Como observado,
os custos médios de detecção e escalonamento foram de R$72 milhões, com um valor máximo
de R$2.93 milhões e um valor mínimo de R$50 mil.
Figura 11. Custos de detecção e escalonamento
R$1.000.000 omitido
3.50
2.93
3.00
2.50
2.00
1.50
1.00
0.72
0.50
0.05
Mínimo
Minimum
Médio
Average
Máximo
Maximum
Custos de notificação. A figura 12 mostra a distribuição dos custos associados às atividades de
notificação. Tais custos geralmente incluem atividades de TI relacionadas com a criação de
bancos de dados de contatos, determinação de todos os requisitos normativos, envolvimento de
especialistas externos, despesas postais, contatos secundários para correspondências ou emails rejeitados e tratamento de comunicados recebidos. O custo médio de notificação deste ano
foi de R$11 milhões, com um valor máximo de R$35 mil e um mínimo de zero.
Figura 12. Custos de notificação
R$1.000.000 omitido
0.40
0.35
0.35
0.30
0.25
0.20
0.15
0.11
0.10
0.05
Minimum
Mínimo
Relatório do Ponemon Institute©
Average
Médio
Maximum
Máximo
Página 12
Custos pós-violação de dados. A figura 13 mostra a distribuição dos custos associados com
atividades pós-incidente. Tais custos normalmente incluem atividades de help desk,
comunicados recebidos, atividades especiais de investigação, atividades de remediação,
despesas jurídicas, descontos em produtos, serviços de proteção de identidade e intervenções
reguladoras. O custo médio de respostas pós-incidente foi de R$79 mil, com um valor máximo de
R$ 2.6 milhões e apenas um valor mínimo nominal.
Figura 13. Custos pós-violação de dados
R$1.000.000 omitido
3.00
2.60
2.50
2.00
1.50
1.00
0.79
0.50
0.02
Mínimo
Minimum
Médio
Average
Máximo
Maximum
Custos da perda de negócios. A figura 14 mostra os custos decorrentes da perda de negócios
associados aos incidentes de violação de dados experimentados pelas empresas brasileiras.
Tais custos incluem a rotatividade anormal de clientes, atividades mais intensas para conquistar
cliente, perda de reputação e menor goodwill. O custo médio da perda de negócios para as
organizações analisadas foi de R$1.03 milhão, com um valor máximo de R$4.17 milhões e
apenas um valor mínimo nominal.
Figura 14. Custos da perda de negócios
R$1.000.000 omitido
5.00
4.17
4.00
3.00
2.00
1.03
1.00
0.01
Minimum
Mínimo
Relatório do Ponemon Institute©
Average
Médio
Maximum
Máximo
Página 13
Custos diretos e indiretos da violação de dados. Os custos diretos se referem às despesas
diretas para realizar uma determinada atividade, tais como envolver especialistas forenses,
contratar um escritório de advocacia ou oferecer serviços de proteção de identidade às vítimas.
Os custos indiretos incluem o tempo, os esforços e outros recursos organizacionais empregados.
Isso inclui o uso de funcionários para ajudar na notificação da violação de dados ou na
investigação do incidente. Os custos indiretos também incluem a perda de goodwill e a
rotatividade de clientes.
A figura 15 mostra os componentes dos custos diretos e indiretos de um vazamento de dados
em uma base per capita. O custo direto por registro violado foi de R$68 – ou 59 por cento do
custo per capita. O custo indireto foi de R$47 por registro – ou 41 por cento do custo per capita.
Figure 15. Custos per capita diretos e indiretos da violação de dados
Medidos em R$
80
70
68
60
47
50
40
30
20
10
Direct(59%)
(59%)
Diretos
Relatório do Ponemon Institute©
Indirect (41%)
Indiretos
(41%)
Página 14
Medidas de prevenção tomadas após o vazamento
Além de avaliar as atividades específicas com custos relativas ao incidente de violação de
dados, apresentamos na tabela 1 as medidas preventivas implementadas pelas empresas logo
após o evento. As medidas preventivas e os controles mais populares implementados após o
vazamento de dados são: procedimentos e controles manuais extras (52 por cento), programas
de treinamento e conscientização (40 por cento), programas de gerenciamento de identidade e
acesso (27 por cento) e certificação ou auditoria de segurança (26 por cento).
Tabela 1. Medidas preventivas e controles implementados após a violação de dados
Pct%
Procedimentos e controles manuais extras
52%
Programas de treinamento e conscientização
40%
Soluções de gerenciamento de identidade e acesso
27%
Certificação ou auditoria de segurança
26%
Uso mais amplo da criptografia
25%
Reforço dos controles dos perímetros
19%
Soluções de prevenção contra perda de dados (Data Loss Prevention - DLP)
19%
Soluções de segurança de endpoints
18%
Sistemas de inteligência de segurança
15%
Outras práticas de controle de sistemas
11%
* Nota: uma empresa pode implementar mais de uma medida preventiva.
Categorias de custo
A tabela 2 lista 11 categorias de custo em uma base percentual, compiladas a partir das 31
empresas analisadas. As três categorias com maior custo são perda de negócios com clientes,
investigações e atividades forenses, serviços de auditoria e consultoria.
Tabela 2. Porcentagem das categorias de custo do vazamento de dados
Pct%
Investigações & Atividades forenses
24%
Serviços de auditoria e consultoria
15%
Custos de contatos feitos
3%
Custos de contatos recebidos
3%
Relações Públicas/Comunicação
3%
Serviços jurídicos - Defesa
6%
Serviços jurídicos - Conformidade
5%
Serviços gratuitos ou com desconto
7%
Serviços de proteção de identidade
1%
Perda de negócios com clientes
25%
Custo com conquista de clientes
8%
Relatório do Ponemon Institute©
Página 15
Parte 3. Observações e descrição sobre as empresas participantes
Podemos concluir que os esforços das empresas no sentido de aprimorar suas práticas de
proteção dos dados podem ser benéficos. Os investimentos mais rentáveis, como evidenciado
pelo custo mais baixo de um vazamento de dados, são: postura de segurança sólida, planos de
resposta a incidentes, nomeação de um CISO com responsabilidade por todo o âmbito da
empresa e a utilização de consultores externos.
Esperamos que este estudo ajude a compreender quais possíveis custos de um vazamento de
dados podem estar baseados em certas características e qual a melhor forma de alocar recursos
para a prevenção, detecção e resolução de uma violação de dados. Especificamente, o estudo
também revela as graves consequências financeiras de atos dolosos ou criminosos. Esses
vazamentos de dados podem vir a ser os mais onerosos.
A figura 16 mostra a distribuição das organizações analisadas por setor. No estudo deste ano,
foram representados 11 segmentos. O maior setor é o de serviços financeiros, que inclui bancos,
seguradoras, companhias de gestão de investimentos e empresas de cobrança. Os segundo e
terceiro maiores segmentos são os serviços e produtos de consumo, respectivamente.
Figura 16. Distribuição da amostra analisada por setor
3%
3%
3%
3%
Financial
Finanças
19%
Services
Serviços
7%
Consumer
Consumo
Public
Setorsector
público
Industrial
Indústria
10%
Retail
Varejo
16%
Technology
Tecnologia
Communications
Comunicação
Energy
Energia
10%
Pharmaceutical
Farmacêutico
13%
Relatório do Ponemon Institute©
13%
Transportation
Transporte
Página 16
Parte 4. Como o custo do vazamento de dados foi calculado
Nosso estudo aborda as principais atividades relacionadas a processos com uma gama de
despesas associadas com detecção, resposta, contenção e remediação de uma violação de
dados em uma organização. Os quatro centros de custo são:

Detecção ou descoberta: Atividades que permitem à empresa detectar razoavelmente o risco
de violação de dados pessoais, armazenados ou em trânsito.

Escalonamento: Atividades necessárias para relatar a violação de informações protegidas às
equipes apropriadas dentro de um período de tempo específico.

Notificação: Atividades que permitem à empresa notificar os titulares dos dados com uma
carta, telefonema, e-mail ou aviso geral de que informações pessoais foram perdidas ou
roubadas.

Resposta pós-incidente: Atividades para ajudar as vítimas da violação a se comunicarem
com a empresa a fim de fazer perguntas adicionais ou obter recomendações para minimizar
possíveis danos. As atividades de reparação também incluem respostas como
monitoramento do crédito ou abertura de uma nova conta (ou cartão de crédito).
Além das atividades relacionadas com processos descritas acima, a maioria das empresas teve
custos de oportunidade associados ao incidente de violação, resultantes da quebra de confiança
por parte dos atuais e futuros clientes. A pesquisa do nosso instituto mostra que a publicidade
negativa associada ao incidente de violação de dados gera efeitos na reputação que provocam
rotatividade anormal de clientes bem como uma queda na conquista de clientes.
Para extrapolar esses custos de oportunidade, usamos um método de estimativa de custo que
se baseia no “valor da vida útil” de um cliente médio conforme definido para cada organização
participante.

Rotatividade dos clientes atuais: Número estimado de clientes que provavelmente encerrará
a relação por conta do incidente de violação. A perda incremental é a rotatividade anormal
atribuível ao incidente. Esse número é uma porcentagem anual baseada em estimativas
6
fornecidas pela administração durante o processo de entrevista .

Menor conquista de clientes: Número estimado de clientes almejados que não terá um
relacionamento com a organização como consequência da violação. Esse número é
fornecido como uma porcentagem anual.
Reconhecemos que a perda de dados que não sejam do cliente, como registros de funcionários,
7
pode não afetar a rotatividade de uma organização . Nesses casos, prevemos que a categoria
de custo para os negócios será menor quando as violações de dados não envolverem dados de
clientes ou de consumidores (incluindo informações transacionais de pagamento).
6
Em vários casos, a rotatividade é parcial, com as vítimas de violação mantendo sua relação com a
organização, mas o volume de atividade do cliente realmente diminui. Esse declínio parcial é especialmente
relevante em determinados setores – como serviços financeiros ou órgãos do setor público – nos quais o
fim do relacionamento é custoso ou economicamente inviável.
7
Neste estudo, consideramos as informações de cidadãos, pacientes e estudantes como dados de clientes.
Relatório do Ponemon Institute©
Página 17
Métodos comparativos
Todas as organizações participantes experimentaram um ou mais incidentes de violação de
dados em algum momento no ano passado. Nosso instrumento de comparação capturou
informações descritivas de profissionais das áreas de TI, conformidade e segurança sobre o
impacto do custo total de uma violação envolvendo perda ou roubo de informações de clientes
ou consumidores. Também foi necessário que esses profissionais estimassem os custos de
oportunidade associados às atividades do programa.
Os componentes do custo estimado da violação de dados foram capturados em um formulário
classificatório. Na maioria dos casos, o pesquisador realizou entrevistas de acompanhamento
para levantar fatos adicionais, incluindo a taxa estimada de rotatividade anormal resultante do
evento de violação mais recente na empresa envolvendo 1.000 ou mais registros
8
comprometidos.
Os métodos de coleta de dados não incluíram informações de contabilidade. Em vez disso,
confiaram em uma estimativa numérica baseada no conhecimento e na experiência de cada
participante. Dentro de cada categoria, a estimativa de custo foi um processo de duas etapas.
Em primeiro lugar, o instrumento exigiu que os indivíduos fizessem uma estimativa direta para
cada categoria de custo, marcando um intervalo definido no formato de linha a seguir.
Como usar essa linha: A linha fornecida sob cada categoria de custo de violação de dados é uma maneira
de obter a melhor estimativa para a soma de gastos em dinheiro, trabalho e despesas gerais. Deve-se
marcar apenas um ponto em algum lugar entre os limites inferior e superior. É possível redefinir os limites
inferior e superior da linha a qualquer momento durante o processo de entrevista
Marque sua estimativa de custos diretos aqui [categoria de custo apresentada]
LL
______________________________________|___________________________________
UL
O valor numérico obtido a partir dessa linha, em vez de uma estimativa pontual para cada
categoria de custo apresentada, preserva a confidencialidade e garante uma taxa maior de
respostas. O instrumento também exigiu que os profissionais fornecessem uma segunda
estimativa para custos indiretos e de oportunidade, separadamente.
O escopo dos itens de custo da violação de dados contido no nosso instrumento comparativo foi
limitado a categorias de custo conhecidas aplicadas a um amplo conjunto de operações de
negócios que lidam com informações pessoais. Acreditamos que um estudo com foco em
processos de negócios – e não em atividades de proteção de dados ou privacidade – produziria
resultados de melhor qualidade.
8
Nossos critérios de amostragem incluíram apenas empresas que experimentaram uma violação de dados
entre 1.000 e 100.000 registros perdidos ou roubados em algum momento durante os últimos 12 meses.
Excluímos incidentes catastróficos de violação de dados para evitar distorções nos resultados gerais da
amostra.
Relatório do Ponemon Institute©
Página 18
A figura 17 ilustra o esquema de custos com base em atividades utilizado em nosso estudo
comparativo. Os centros de custo examinados sequencialmente foram: descoberta do incidente,
escalonamento, notificação, resposta pós-evento e perda de negócios.
Figura 17: Esquema do processo de violação de dados
Antes da descoberta ou da notificação do incidente
Descoberta do Incidente
Escalonamento
`
Depois da descoberta
Notificação
Exemplos de atividades de descoberta e
escalonamento:
Investigar o incidente para determinar as causas da
violação de dados
Resposta pós-evento
Determinar a população da violação de dados
(prováveis vítimas)
Organizar a equipe de resposta para o incidente
Orquestrar planos de Relações Públicas e
Comunicação
Preparar os documentos de aviso e outras
divulgações necessárias para as vítimas e órgãos
regulatórios
Oportunidades de
negócios perdidas
Implementar os procedimentos de call center e
treinamentos necessários
Dentro de cada centro de custo, o instrumento de pesquisa exigiu a estimativa de uma faixa de
custo para capturar as estimativas de custo direto, custo indireto e custo de oportunidade,
conforme definido a seguir:

Custo direto – gastos diretos para realizar uma determinada atividade.

Custo indireto – quantidade de tempo, esforços e outros recursos organizacionais
empregados, mas não como um gasto direto em dinheiro.

Custo de oportunidade – custo resultante de oportunidades de negócios perdidas em
consequência dos efeitos negativos na reputação após a violação ter sido reportada às
vítimas (e publicamente revelada na imprensa).
Relatório do Ponemon Institute©
Página 19
Para manter total confidencialidade, o instrumento de pesquisa não capturou nenhuma
informação específica das empresas. Os materiais não contiveram nenhum código de
rastreamento nem outros métodos capazes de associar as respostas às empresas participantes.
Para manter o processo comparativo em um tamanho gerenciável, limitamos cuidadosamente os
itens a apenas os centros de atividade de custo que consideramos cruciais para a medição dos
custos da violação de dados. Com base em discussões com especialistas, o conjunto final de
itens incluiu um grupo fixo de atividades. Após a coleta de informações, cada instrumento foi
reexaminado cuidadosamente para garantir consistência e abrangência.
Parte 5. Limitações
Nosso estudo utiliza um método comparativo confidencial e proprietário que foi implantado com
sucesso em pesquisas anteriores. No entanto, existem limitações inerentes à pesquisa que
precisam ser cuidadosamente consideradas antes de tirar conclusões a partir dos resultados.

Resultados não estatísticos: Nosso estudo se baseia em uma amostra representativa, não
estatística, de 31 organizações brasileiras que passaram por uma violação envolvendo a
perda ou o roubo de registros de clientes ou consumidores nos últimos 12 meses.
Inferências estatísticas, margens de erro e intervalos de confiança não podem ser aplicados
a esses dados, já que nossos métodos de amostragem não são científicos.

Não resposta: As conclusões atuais se baseiam em uma pequena amostra representativa.
Trinta e uma empresas concluíram o processo comparativo. Viés de não resposta não foi
testado, portanto é possível que empresas não participantes sejam substancialmente
diferentes em relação aos custos da violação de dados.

Viés de amostragem: Nossa amostragem é subjetiva, portanto a qualidade dos resultados
pode estar influenciada pelo grau de representatividade da população das empresas
analisadas. Acreditamos que a atual amostragem tem o viés de empresas com programas
mais maduros de segurança das informações e privacidade.

Informações específicas das empresas: As informações levantadas no estudo são críticas e
confidenciais. Por isso, o atual instrumento de pesquisa não captura informações que
identifiquem as empresas. Também permite que os indivíduos usem as respostas
categorizadas para divulgar dados demográficos sobre a empresa.

Fatores não mensuráveis: Para manter o roteiro de entrevista conciso e com foco,
resolvemos omitir outras variáveis importantes de nossas análises, tais como as principais
tendências e características organizacionais. A extensão de quais variáveis foram omitidas
pode explicar por que os resultados não podem ser definitivos.

Resultados de custos extrapolados: A qualidade do estudo comparativo se baseia na
integridade das respostas confidenciais fornecidas pelos entrevistados nas empresas
participantes. Ainda que certos controles e equilíbrios possam ser incorporados no processo
de pesquisa, há sempre a possibilidade de os entrevistados não fornecerem respostas
exatas ou verdadeiras. Além disso, o uso de métodos de extrapolação de custos, em vez de
dados de custo reais, pode inadvertidamente introduzir viés e imprecisões.
Relatório do Ponemon Institute©
Página 20
Apêndice 1: Custo dos 31 estudos de caso de violação de dados
Caso
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Medido em R$
Tamanho da
violação
7.953
14.608
16.173
4.777
22.852
17.904
23.369
18.939
3.682
16.634
5.262
13.716
14.710
12.174
2.348
13.132
15.886
18.679
23.720
17.806
31.106
35.772
15.786
16.117
30.448
35.880
89.442
31.659
69.883
31.984
35.852
Relatório do Ponemon Institute©
Detecção &
Escalonamento*
349.178
531.416
269.351
222.266
569.121
259.780
912.090
405.608
299.750
369.976
166.532
244.824
194.149
283.636
45.425
273.609
384.782
925.431
226.682
451.666
764.560
998.181
529.155
519.744
1.098.265
1.235.487
2.929.738
538.763
2.241.084
2.751.674
1.233.683
Notificação*
13.907
60.857
214.494
80.328
3.243
192.944
7.071
11.442
4.058
30.599
140.508
134.084
22.101
37.984
49.330
86.002
52.031
99.697
217.977
239.063
82.742
119.651
168.811
129.526
141.929
274.777
178.325
346.780
149.618
Resposta
após o fato*
204.330
189.727
328.870
25.854
456.889
400.016
80.679
617.902
191.945
523.557
105.635
677.171
734.778
794.639
21.938
1.002.528
424.237
302.265
599.389
323.912
953.807
1.119.147
515.214
397.152
1.590.213
1.331.742
2.494.693
1.923.798
1.768.290
1.820.369
2.595.268
Perda de
negócios*
85.866
10.689
9.161
27.007
44.436
11.102
652.358
593.871
215.676
527.295
134.525
569.267
371.750
1.035.559
124.341
643.676
935.503
1.131.551
590.394
726.152
1.890.092
2.865.637
1.188.625
1.103.527
2.409.497
1.213.472
4.169.581
2.053.187
2.971.527
2.124.673
1.496.529
Total*
653.281
792.689
821.876
355.455
1.073.689
863.842
1.652.198
1.617.381
718.813
1.424.886
437.291
1.631.770
1.434.761
2.135.935
229.688
1.969.143
1.744.522
2.445.249
1.468.496
1.601.427
3.826.436
5.222.028
2.315.736
2.140.074
5.266.786
3.910.227
9.735.941
4.790.525
7.159.226
7.043.496
5.475.098
Página 21
Em caso de dúvidas ou comentários sobre o relatório desta pesquisa ou se desejar obter cópias
adicionais do documento (incluindo permissão para citar ou reutilizar o relatório), entre em
contato via carta, telefone ou e-mail:
Ponemon Institute LLC
Attn: Research Department
2308 US 31 North
Traverse City. Michigan 49686 USA
1.800.887.3118
[email protected]
Ponemon Institute LLC
Gestão Responsável de Informações
O Ponemon Institute dedica-se à pesquisa independente e à orientação que promovam o avanço
de práticas responsáveis de gestão de informações e privacidade dentro das empresas e dos
órgãos governamentais. Nossa missão é realizar estudos empíricos de alta qualidade sobre
questões críticas que afetam a gestão e a segurança de informações confidenciais de pessoas e
organizações.
Como membro do Council of American Survey Research Organizations (CASRO),
defendemos padrões rigorosos de confidencialidade de dados, privacidade e pesquisa ética.
Não coletamos quaisquer informações pessoais de indivíduos (nem informações que
identifiquem empresas) em nossas pesquisas. Além disso, temos rígidos padrões de qualidade
para assegurar que não sejam feitas perguntas estranhas, irrelevantes ou impróprias.
Relatório do Ponemon Institute©
Página 22