Um prejuízo de aproximadamente 500 mil euros é quanto custa em média para uma grande empresa um ciber-ataque, de acordo com os dados do estudo global sobre segurança TI nas empresas 2013, realizado pela B2B Internacional em conjunto com a Kaspersky Lab.
O estudo baseou-se no inquérito a 2.895 profissionais TI de empresas de 24 países de todo mundo, que podem ser divididas em dois grandes grupos. O primeiro compreende as médias empresas de 100 a 1 500 postos, além de um pequeno número de pequenas empresas de 10 a 99 postos. O segundo grande grupo de inquiridos é composto por representantes de grandes empresas com 1.500 ou mais postos.
Os analistas da B2B Internacional calcularam os danos derivados destes ataques, incluindo apenas os incidentes ocorridos nos últimos 12 meses e avaliando a informação das perdas sofridas como resultado directo dos incidentes de segurança. O resultado tem por base dois componentes principais, os danos causados pelo incidente em si,isto é, perdas derivadas da fuga de dados críticos, continuidade de negócio e custos associados à intervenção de especialistas para resolver o incidente. Este campo representa a maior parte das perdas, estimadas em 431 mil euros.
Depois surgem os custos não planificados, ou seja, realizados para prevenir futuros ataques similares, incluindo na contratação/formação de pessoal, hardware, software e outras alterações à infra-estrutura. Este campo tem um custo estimado de 69 mil euros.
Os danos variam dependendo da região geográfica em que opera a empresa em questão. Por exemplo, os prejuízos mais avultados relacionam-se com incidentes sofridos em empresas que operam na América do Norte, com uma média de 624 mil euros, seguidas da América do Sul, com 620 mil euros. A Europa Ocidental registou uma média mais baixa, mas ainda considerável, das perdas derivadas de ciber-ataques, chegando aos 478 mil euros.
O caso das PME
Os custos de um ciber-ataque contra as pequenas e médias empresas são mais baixos que nas grandes empresas. A perda média resultante dos incidentes de segurança TI nas empresas de média dimensão é de aproximadamente 38 mil euros, sendo que cerca de 28 mil euros resultam do incidente em si, enquanto os restantes 10 mil provêm de outras despesas associadas.
As maiores perdas geradas por ciber-ataques entre pequenas e médias empresas foram registadas em organizações da região Ásia-Pacífico (73 mil euros). Em segundo lugar aparecem as empresas da América do Norte, com prejuízos de 62 mil euros e o valor mais baixo foi registado na Rússia – em média 16 mil euros.
O estudo revela que, em alguns casos, as perdas financeiras sofridas pelas pequenas empresas são acompanhadas de outros prejuízos que ascendem a aproximadamente 5% das receitas anuais.
A lição mais importante a tirar deste estudo é que os ciber-ataques mais destrutivos e caros podiam ter sido evitados. Os ataques exploram falhas que as empresas poderiam evitar utilizando soluções de segurança TI de qualidade e fazendo a gestão da infra-estrutura de forma apropriada.
Normalmente, as empresas que foram vítimas de ciber-ataques só entendem a importância e o valor das soluções de segurança após um incidente – ou seja, os custos adicionais podem ser evitados. Uma simples análise permite perceber que, na grande maioria dos casos, o investimento em qualidade e segurança eficaz pode ser consideravelmente menor que os custos derivados de um incidente grave de segurança.