O custo de uma violação de dados em empresa do varejo chegou em média a US$ 3,5 milhões em 2024, de acordo com estudo da IBM. Uma violação de dados ocorre quando partes não autorizadas obtêm acesso a informações sensíveis ou confidenciais, e embora seja possível prevenir muitos desses incidentes com equipes especializadas de segurança, os impactos financeiros continuam significativos. O custo médio global, incluindo todos os setores, foi de US$ 4,9 milhões em 2024, aumento de quase 10% em relação ao ano anterior (US$ 4,4 milhões). No caso do varejo, que possui margens de lucro mais apertadas, o impacto pode ser ainda mais prejudicial. “Dada a competitividade do mercado, uma violação pode significar não apenas perdas financeiras, mas também prejuízos à reputação, tornando crucial que as empresas invistam em estratégias robustas de segurança cibernética”, afirmou a IBM.
Esses custos incluem a perda de receita devido ao downtime do sistema, perda de clientes e danos à reputação. Podem incluir ainda despesas de criação de centrais de atendimento e serviços de monitoramento de crédito para os clientes afetados, além do pagamento de multas regulatórias. A IBM conduziu o estudo com 604 organizações de diversos tamanhos em 16 países, incluindo o Brasil, abrangendo 17 setores, como financeiro, industrial, tecnologia, público, energia e varejo. As violações analisadas no estudo variaram entre 2 mil e 113 mil registros comprometidos.
Entre os 16 países analisados no estudo, o Brasil ocupa a última posição no ranking de custo médio de violações de dados – US$ 1,4 milhão por incidente. No topo da lista estão os Estados Unidos, onde uma violação custa em média US$ 9,4 milhões, seguidos pelo Oriente Médio, com US$ 9,7 milhões. Outras regiões com custos elevados incluem Benelux (bloco que inclui Bélgica, Holanda e Luxemburgo), com US$ 5,9 milhões, Alemanha, com US$ 5,3 milhões, e Itália, onde o valor médio atinge US$ 4,7 milhões. Em 2024, o tipo mais comum de dados roubados ou comprometidos foi a Informação Pessoal Identificável (PII) de clientes, representando 48% dos casos. PII inclui informações sensíveis, como números de identificação fiscal, e-mails e endereços residenciais, que podem ser usadas para roubo de identidade e fraudes com cartões de crédito. Logo atrás, 43% das violações envolveram propriedade intelectual, enquanto 37% afetaram PII de funcionários. Dados corporativos apareceram em 31% dos incidentes, e dados de clientes anônimos em 24%. O total excede 100% porque as empresas podiam relatar múltiplos tipos de dados comprometidos.
MELHORIAS – As equipes de segurança ao redor do mundo estão melhorando sua capacidade de detectar e conter violações de dados de forma mais eficiente. De acordo com o estudo, o tempo médio para identificar e neutralizar uma violação caiu para 258 dias em 2024, ante 277 dias registrados no ano anterior. “Em uma violação de dados, tempo significa dinheiro”, afirmou a IBM. Violações com ciclos de vida mais longos – aquelas que levam mais tempo para serem detectadas e contidas – acarretam custos maiores. Quando o ciclo de vida completo de uma violação excede 200 dias, o custo médio sobe para US$ 5,5 milhões. Em contraste, violações que foram resolvidas em menos de 200 dias tiveram custos menores (US$ 4,1 milhões). “O uso de IA e automação provavelmente contribuiu para essa aceleração”, disse a empresa de tecnologia.
Este ano, a IBM constatou que as equipes de segurança que trabalham com suas próprias ferramentas, e não de forma terceirizada, melhoraram seu desempenho na detecção de violações. Elas conseguiram identificar violações em 42% dos casos, melhoria significativa em comparação ao ano anterior (33%). Além das equipes de segurança interna, outros terceiros benignos, como pesquisadores de segurança, autoridades policiais e consultores, foram responsáveis por identificar 34% das violações. Em 24% dos casos, foram os próprios invasores que acabaram revelando a existência da violação. Quando isso acontece, o custo médio é de US$ 5,5 milhões, mas quando é identificado pela equipe de segurança o valor médio é de US$ 4,5 milhões.
Segundo o relatório da IBM, a inteligência artificial e a automação estão contribuindo para o campo da cibersegurança. Em 2024, o uso dessas tecnologias pelas organizações aumentou. Cerca de 31% das empresas agora utilizam IA e automação de forma ampla – prevenção, detecção, investigação e resposta – em suas operações de segurança, ante 28% registrados no ano anterior. Além disso, o número de empresas que aplicam IA e automação de forma limitada também subiu, de 33% para 36%. Outros 33% não usam – eram 39% em 2023. As empresas que adotaram essas tecnologias de forma ampla reportaram custos médios de violação de US$ 3,8 milhões, enquanto aquelas que não utilizaram IA e automação registraram custos de US$ 5,7 milhões. “Onde quer que a IA e a automação tenham sido aplicadas, elas aceleraram o trabalho de identificação e contenção de violações”, disse a IBM. As empresas que não usam IA e automação demoram 307 dias para prevenir e conter a violação, enquanto as que usam IA de forma extensiva consumiram 209 dias.
INVESTIMENTO – Após uma violação de dados, é comum que os líderes de negócios e de TI de uma organização aumentem seus investimentos em segurança cibernética, de acordo com a IBM. O estudo aponta que 63% das empresas entrevistadas ampliam seus orçamentos para proteção após incidentes de segurança. Os principais setores que recebem esses recursos incluem planejamento e teste de resposta a incidentes (IR), detecção de ameaças e tecnologias de resposta, além de áreas como treinamento de funcionários, gerenciamento de identidade e acesso (IAM) e testes de segurança ofensivos. “Esses investimentos visam fortalecer a capacidade das empresas de prevenir novas violações e mitigar os impactos financeiros e reputacionais”, afirmou a IBM.
RECOMENDAÇÕES – No estudo, a IBM compartilhou suas recomendações para levar mais segurança para as empresas. O primeiro é conhecer o cenário de informações da empresa. Muitas organizações possuem inventários de dados incompletos ou desatualizados, atrasando os esforços para descobrir quais dados foram violados e quão sensíveis ou confidenciais eles são. “As equipes de segurança devem garantir uma visibilidade abrangente em todos esses ambientes, aplicando soluções como o Gerenciamento de Postura de Segurança de Dados (DSPM) e ferramentas de gerenciamento de acesso à identidade (IAM)”. As equipes de segurança também devem prestar atenção extra a ambientes híbridos e nuvens públicas: cerca de 40% das violações de dados em 2024 envolveram dados armazenados em múltiplos ambientes.
Outra recomendação é adotar estratégias preventivas baseadas em IA e automação, com especial atenção à IA generativa. Segundo a IBM, apenas 24% das iniciativas de IA generativa atualmente contam com proteção adequada, expondo empresas a riscos significativos de vazamento de dados e comprometimento de modelos. Para mitigar esses riscos, é crucial que as organizações implementem controles rígidos de governança, além de criptografia e monitoramento de conformidade para assegurar que os dados usados em treinamentos de IA estejam protegidos contra roubo ou manipulação. “A falta de segurança ameaça expor dados e modelos a violações, potencialmente minando os benefícios que os projetos de IA generativa pretendem entregar.”
Além disso, as equipes de segurança devem estar preparadas para monitorar inputs maliciosos, como injeções de prompts, e outputs que possam conter dados sensíveis. Implementar soluções capazes de detectar ataques específicos de IA, como envenenamento de dados, evasão de modelo e extração de modelo, também é essencial. Desenvolver playbooks de resposta, que permitam isolar e desconectar modelos comprometidos, ajuda a garantir a segurança contínua da IA generativa.
Outro ponto crítico para as empresas é o treinamento de resposta cibernética. A maneira como uma organização lida com uma violação e se comunica com stakeholders – incluindo lideranças, órgãos reguladores e clientes – pode ser decisiva para reduzir os danos. Participar de exercícios de simulação de crises cibernéticas prepara as equipes para responder rapidamente a ataques de alto impacto. Esses exercícios devem incluir tanto as equipes de segurança como os líderes empresariais e colaboradores que lidam diretamente com a IA, garantindo que toda a organização esteja alinhada na contenção e na rápida resposta a incidentes.