Pesquisa

As tendências da segurança em números

Scott Berinato e Matt Perry
6 de julho de 2018
as tendências da segurança cibernética

Para entender o estado desencorajador da segurança cibernética, é bom analisar primeiro as estatísticas a seguir, extraídas de pesquisas realizadas com empresas do mundo todo em 2017. Os participantes foram inquiridos sobre a incidência em suas empresas de ataques direcionados — invasões capazes de romper as defesas da rede e danificar ou roubar ativos valiosos (ao contrário das inúmeras atividades nefastas de baixo nível que são mais aborrecimento que ameaça). Eles também relataram as violações — ataques que conseguem penetrar.

De acordo com um levantamento similar de 2018, a proporção de ataques direcionados que foram impedidos aumentou para 87%. Isso poderia parecer boa notícia, mas…


E quando você leva isso em conta…

… nota-se claramente que as empresas estão gastando mais e mais, para continuar marcando passo. Em média, elas estão detectando praticamente o mesmo número de violações. E os especialistas acreditam que esse número não deve diminuir substancialmente, porque os ataques continuarão aumentando. Além disso, há uma preocupação de que as violações poderão afetar alvos de impacto mais alto e com consequências de maior repercussão. Provavelmente os gastos também continuarão aumentando em virtude do uso massivo de medidas preventivas e os crescentes custos das violações.

No artigo apresentamos uma exploração visual do estado da segurança cibernética, com gráficos extraídos de três relatórios de organizações altamente respeitadas. O relatório “2018 Data Breach Investigations Report”, da Verizon, analisa mais de 53 mil incidentes de segurança cibernética (eventos que provavelmente expuseram dados) e 2.216 violações (incidentes que resultaram em exposição confirmada de dados) em 65 países. O relatório “2018 State of Cyber Resilience”, da Accenture, baseia-se numa pesquisa com 4.600 executivos de empresas avaliadas em mais de US$ 1 bilhão de 19 setores em 15 países. O relatório “2017 Cost of Cyber Crime Study”, elaborado pelo Instituto Ponemon, explora as respostas de 254 empresas em sete países. Embora seja difícil obter dados definitivos de eventos de segurança cibernética, devido à natureza relativamente esquiva das ameaças, juntos, esses relatórios fornecem um quadro detalhado da situação atual. Os dados revelam uma realidade dual. De um lado, as coisas não mudaram: os ataques ocorrem continuamente e utilizam praticamente as mesmas abordagens técnicas usadas há anos. De outro lado, as coisas mudaram radicalmente: ocorrem mais ataques agora do que nunca. E estão se tornando mais violentos: observamos mais ataques à infraestrutura vital e ataques reais com “pedidos de resgate” que bloqueiam os dados ou tecnologias dos usuários até o pagamento do resgate. Apresentamos a seguir o que sabemos sobre a segurança cibernética hoje.

Quem está invadindo?
Aproximadamente um quarto das violações tem origem em fontes internas — mas muitas indústrias se desviam da média. Quando se trata de informação altamente sigilosa e valiosa — assistência médica, administração pública e serviços profissionais, técnicos e científicos —, a proporção de transgressores internos é mais alta; já em setores de empresas que mantêm contato direto com o público, como restaurantes e lojas, a atividade tem origem em fontes majoritariamente externas.

Com que frequência invadem?
Em algumas indústrias extremamente vulneráveis, as invasões bem-sucedidas superam as malsucedidas. Mas, na maioria dos casos, são necessários
vários ataques para chegar a uma violação.

A razão de incidentes em relação às violações num setor é um bom indicador de sua vulnerabilidade. Serviços de hospitalidade e alimentação são um dos alvos mais vulneráveis: a média é de 11 violações para cada ataque malsucedido. No entanto, a recompensa pela invasão, geralmente, é menor que em outros setores. O setor público sofre ataques massivos, com o maior número de incidentes dos setores estudados. Mas muitos falham: para cada 74 ataques malsucedidos, só há uma violação.

O que conseguem?
Apesar de todos os esforços envidados nos últimos anos para proteger dados pessoais e dados do cartão de crédito do usuário, estes são os ativos mais
comumente visados. Outros alvos baseados em informação não foram incluídos aqui, como contratos, solicitação de propostas e sistemas de controle, que estão sofrendo mais violações que no passado. A vulnerabilidade dos dados pessoais e dos cartões de crédito e o fácil acesso indicam que todas as nossas defesas não estão surtindo o efeito que deveriam.

Setores nos quais as violações envolvem predominantemente um único tipo de informação (médicas, serviços de hospitalidade e alimentação) podem aperfeiçoar suas defesas, porque o risco está bem definido. Os bandidos estão quase sempre atrás da mesma coisa. Mas setores com vários alvos, onde não há um alvo preferencial responsável pela maioria das violações (finanças, manufatura), precisam de uma estratégia mais flexível para mitigar o risco — uma estratégia que lhes dê munição para lutar em vários fronts. Em diferentes setores variam os caminhos que os malfeitores utilizam para invadir as redes — mas note a frequência com que os aplicativos da web são envolvidos em ataques bem-sucedidos. Observando as três principais fontes de incidentes de um setor (marcadores) contra as principais três fontes de violações (laranja), verifica-se uma destas duas possibilidades:

1. Se as principais fontes de incidentes e violações são as mesmas, esses ataques são fortemente direcionados, e as empresas sabem disso — mas, de qualquer forma, os agressores são bem-sucedidos. Alguma coisa está errada.

2. Se as principais fontes de incidentes e violações são diferentes, as empresas se saíram bem em defender alguns fronts (onde os incidentes são mais altos, mas as violações não), porém há pontos cegos em outros (onde as violações são mais altas relativamente aos incidentes).

Quatro formas de analisar os custos 
A forma mais simples de considerar os custos é perceber que eles estão sempre aumentando, seja por meio de investimentos em defesas ou em despesas para se recuperar de violações.

Não é surpresa que o custo do crime cibernético está aumentando no mundo todo. A inclinação das retas de aumento ano a ano da Alemanha dos Estados Unidos sugere que estes países apresentam uma combinação de valor e vulnerabilidade mais atraente — para os hackers.


Analisando os custos por setor, destacamos algumas tendências. O custo do crime cibernético é alto para serviços públicos e empresas de energia em parte por causa do perfil de risco do setor: uma violação pode ter consequências imediatas com potencial ameaça à vida. Os custos para o setor público são relativamente baixos, mas o volume total dos ataques significa que eles tendem a aumentar consideravelmente, sobretudo com o crescimento da espionagem no nível estatal.


De 2015 a 2017, como vimos anteriormente, os gastos em detecção e contenção cresceu cerca de 5% — e as taxas de prevenção de violações aumentaram. Mas, como mostra o gráfico da direita, as perdas de receita não diminuíram proporcionalmente.

Hoje as disrupções de negócios custam menos que costumavam custar. Estamos melhorando em manter o tempo de operação apesar do nível estável dos ataques. Mas o custo de perdas de informações aumentou acentuadamente. Eis o grande paradoxo da segurança cibernética: embora tenhamos melhorado nossa capacidade de impedir ataques, não reduzimos os prejuízos quando os ataques são bem-sucedidos.

Levando todos esses fatores em conta, as empresas devem ponderar se os ganhos obtidos por terem vários sistemas online valem os riscos. Uma nova escola de pensamento indica que é hora de desligar os sistemas vitais cujas violações podem ter consequências gravíssimas. Sim, as empresas devem “pagar” pela conveniência e eficiência — mas esse preço deveria superar o custo sempre crescente de se defender de ataques sem reduzir as violações?
—————————————————————————
Scott Berinato é editor sênior da Harvard Business Review e autor de Good charts: the HBR Guide to making smarter, more pesuasive data visualizations (Harvard Business Review Press, 2016).
—————————————————————————
Matt Perry é designer de informação sênior da Harvard Business Review.

Compartilhe nas redes sociais!