No mês de abril, a ANPD emitiu a Resolução nº 15, que versa sobre a Regulamentação da Comunicação de Incidentes de Segurança. Por meio dessa resolução, a Autoridade Nacional de Proteção de Dados estabelece diretrizes específicas para a comunicação de incidentes de segurança e delineia os procedimentos e responsabilidades dos agentes de tratamento de dados.

O cerne dessa resolução é definir as obrigações relacionadas à comunicação de incidentes de segurança, incluindo prazos, conteúdo e documentos necessários. Essa medida representa um marco significativo para a cultura de proteção de dados no contexto empresarial, uma vez que a segurança da informação é crucial para garantir a conformidade com as regulamentações vigentes.

Impactos financeiros

Além das amplas discussões sobre as implicações legais dos incidentes, torna-se crucial considerar os impactos financeiros decorrentes de tais incidentes. Aqui estão alguns pontos relevantes:

1 - Multas e penalidades:

No caso de incidentes de segurança, a LGPD é clara ao estabelecer as penalidades pecuniárias, que poderão chegar até o elevado patamar de R$ 50 milhões.

2- Interrupção de serviços e perda de receita:

Incidentes de segurança podem resultar na paralisação temporária ou permanente dos serviços oferecidos pela empresa. Isso afeta diretamente a receita e a confiança dos clientes.

A restauração dos sistemas e a investigação do incidente consomem recursos financeiros e tempo valioso.

3 - Pagamento de resgates e custos de recuperação:

Em casos de ransomware, as empresas podem ser forçadas a pagar resgates para recuperar o acesso aos seus dados. Esses pagamentos são despesas diretas e não garantem a total recuperação dos dados.

Além disso, os custos associados à investigação forense, notificação aos afetados e medidas corretivas também são significativos.

4 - Danos à reputação e clientes perdidos:

A reputação de uma empresa é um ativo valioso. Incidentes de segurança podem manchar essa reputação, resultando na perda de clientes existentes e dificultando a aquisição de novos.

Investir em segurança cibernética é uma estratégia proativa para mitigar esses riscos. Isso inclui treinamento de funcionários, implementação de medidas preventivas e monitoramento constante.

Dados alarmantes no relatório da IBM

Os impactos mencionados anteriormente têm sido objeto de estudo por parte dos pesquisadores da área, constituindo um tema com vasta produção intelectual. No entanto, é notável que há uma lacuna na disseminação de informações sobre a monetização desses impactos.

Essa lacuna foi suprida pela empresa IBM, que editou seu "Relatório de Custo de Violação de Dados de 2023", disponibilizando uma quantificação dos impactos de violações de dados em 553 empresas, ocorridas de março de 2002 até março de 2023, em 16 países e 17 setores diferentes. Esse relatório traduz os impactos financeiros e monetizados dos incidentes de segurança às corporações.

Evidentemente, as informações e valores constantes desse relatório são alarmantes.

Somente para citar alguns exemplos, o custo médio da violação de dados atingiu o valor mais alto de todos os tempos em 2023, chegando a US$ 4,45 bilhões. Isso representa um aumento de 2,3% em relação ao custo de US$ 4,35 bilhões em 2022.

O relatório também aponta que investimentos consistentes em automação e inteligência artificial são importantes para reduzir custos e minimizar o tempo para identificar e conter violações. As organizações que utilizaram amplamente esses recursos em sua abordagem tiveram, em média, 108 dias a menos para identificar e conter a violação. Elas relataram também uma redução de US$ 1,76 milhão nos custos da violação de dados em comparação com as organizações que não utilizaram recursos de automação e IA de segurança.

Além dos aspectos acima, um dado que suscita preocupações significativas é o seguinte: apenas um terço das empresas consegue identificar violações de dados por meio de suas próprias equipes de segurança. Essa constatação ressalta a urgência de aprimorar a detecção de ameaças e reforça a necessidade de monitoramento contínuo do ambiente de segurança da informação.

Diversos fatores contribuem para esta realidade, tal como falta de investimentos em tecnologias avançadas de detecção, sistemas de análise comportamental e inteligência artificial. Soma-se a falta de monitoramento do ambiente de segurança, através de análise de logs, tráfego de rede, atividades de usuários.

O texto da IBM também traz três recomendações objetivas envolvendo (1) adoção plena do conceito de privacy by design (2) atenção com a proteção dos dados arquivados em nuvem (3) utilização intensa de tecnologia para detecção de incidentes de segurança.

Conclusão

Em resumo, além das implicações legais, destacam-se os impactos financeiros desses incidentes, como multas, interrupção de serviços, custos de recuperação e danos à reputação. A IBM supre uma lacuna ao quantificar esses impactos em seu relatório de 2023, mostrando um aumento significativo no custo médio das violações de dados e a importância de investimentos em automação e inteligência artificial.

A necessidade urgente de aprimorar a detecção de ameaças é ressaltada, juntamente com recomendações da IBM para adoção do conceito de privacy by design, proteção dos dados na nuvem e uso intensivo de tecnologia para detecção de incidentes de segurança.

Autor: Henrique Zalaf. É sócio do escritório CBPZ Advogados Associados.