Ataques na rede corporativa: quanto podem custar?

Por Douglas Rivero*

Todas as empresas reconhecem que a segurança da rede é crítica. Mas como se pode quantificar o valor comercial de uma rede segura? E como uma empresa pode avaliar e justificar o investimento em produtos de segurança de rede como firewalls de última geração, sistemas de prevenção de intrusão e dispositivos de gestão unificada de ameaças?

Embora não haja nenhuma fórmula exata ou calculadora de "custo de ataques", existem algumas diretrizes e pesquisas úteis que podem fornecer aos gestores de TI algumas técnicas e recursos para desenvolverem o seu próprio modelo de custos. Há três áreas principais que são importantes para avaliar o impacto dos ataques vindos da rede e o "valor de prevenção" das tecnologias de firewall de última geração:

• definir os diferentes tipos de ataques provenientes da rede;
• compreender como esses ataques podem afetar a receita;
• métodos para quantificar o impacto desses ataques.

Tipos de ataque através da rede

Há centenas de tipos de ataques provenientes da rede que podem prejudicar uma organização. Entre as formas mais comuns, incluem-se:

• vírus, cavalos-de-troia, worms e outros malwares que podem desligar servidores e estações de trabalho ou roubar dados;
• ameaças persistentes avançadas projetadas para penetrar redes e se apropriar furtivamente de informações confidenciais e propriedade intelectual;
• ataques distribuídos de negação de serviço (DDoS) e de inundação, que podem sobrecarregar servidores e fechar sites na web.

Como os ataques através da rede podem afetar a sua receita

É aqui que dói — os ataques causam duas grandes categorias de danos, independentemente da origem: violação de dados e perda de serviço.

A violação de dados é sempre um assunto que ganha uma cobertura excepcional na imprensa, pois resulta em informações confidenciais sendo capturadas e removidas furtivamente da organização para as mãos de criminosos ou concorrentes.

Os danos causados pela violação de dados são visíveis e muito prejudiciais. Podem ser financeiros (receitas perdidas, despesas legais e regulamentares, indenizações e multas), custos "suaves" (perda de boa vontade e fidelidade do cliente) e perda de competitividade (pela perda de propriedade intelectual). As empresas que sofrem violações de dados gastam uma quantidade anormal de tempo e dinheiro em custos de detecção e remediação técnica, identificando e bloqueando os ataques, enquanto avaliam os danos e criam medidas corretivas. Além disso, a publicidade negativa sobre uma violação de dados dura muito além do ataque propriamente dito.

Os ataques de negação de serviço resultam em sistemas de computador – estações de trabalho, servidores web, bancos de dados ou aplicativos – sendo degradados ou completamente desativados. Entre os efeitos financeiros incluem-se:

Os danos neste caso também podem ser catastróficos. A atividade comercial fica lenta ou pára completamente e, por isso, a receita é diretamente impactada. Os processos rotineiros são interrompidos, ou os funcionários não podem fazer o seu trabalho porque a rede está fora do ar. Como no caso da violação de dados, há um custo real associado ao pessoal de TI e de suporte ao ter de diagnosticar problemas, treinar funcionários, reiniciar os serviços e refazer a imagem dos PCs.

Então, como calcular os custos?

Como observamos antes, não existe um modelo de custos único para todos.

Duas fontes independentes que podem ajudar a quantificar o impacto dos ataques provenientes da rede podem ser encontradas em um estudo de março de 2012 do Ponemon Institute e no estudo da NetDiligence® sobre Indenizações de Seguro por Ciberresponsabilidade e Violação de Dados, publicado em outubro de 2012.

No final de 2011, o Ponemon Institute realizou entrevistas detalhadas para 49 empresas dos EUA em 14 setores que sofreram a perda ou o roubo de dados pessoais de clientes. Eis algumas das principais conclusões:

• Custo total médio de uma violação de dados: US$ 5,5 milhões.
• Receitas perdidas por cada violação: US$ 3 milhões
• Custos pós-violação de dados: US$ 1,5 milhões (abrangendo tudo: helpdesk, remediação, descontos de cliente e muito mais)

Os números por registro — baseados em quantidades relativamente grandes (normalmente 100 mil registros) — podem dar aos gerentes de TI alguma ideia dos custos associados com as violações de dados, ajustados ao tamanho da empresa e ao número de ameaças normalmente enfrentadas.

O estudo da NetDiligence analisou 137 eventos entre 2009 e 2011 que resultaram em pagamento, pelas seguradoras, de indenizações por ciberresponsabilidade. Pagamentos médios:

• Liquidação judicial por evento: US$ 2,1 milhões
• Defesa jurídica por violação: US$ 582.000
• Custo médio total de pagamento de seguros por evento: US$ 3,7 milhões.

Embora estes dois estudos meçam diferentes elementos dos custos relacionados aos ataques de rede, em um aspecto eles são compatíveis — ambos ilustram o quanto os ataques da rede são caros para a empresa, a sua reputação e a sua capacidade de competir no mercado.

Além destes números, há alguns cálculos rápidos que podem ajudar a justificar o investimento necessário em tecnologias de firewall de rede de última geração:

• a perda de receitas por cada hora que o site fica fora do ar ou com o desempenho significativamente prejudicado por causa de um ataque de DDoS;
• a perda de produtividade por cada hora que um processo de negócios essencial fica fora do ar por causa de um malware que desabilite o servidor;
• a tarifa por hora do pessoal de helpdesk para diagnosticar infecções de malware em PCs e do grupo de suporte para reconfigurar PCs infectados;
• o custo por registro para notificar os clientes ou funcionários em caso de violação de dados e fornecer-lhes serviços de monitoramento de crédito por um ano.

Duas técnicas adicionais podem ser úteis na estimativa de custo dos ataques. Algumas organizações criaram estimativas detalhadas de possíveis implicações futuras mediante a realização de simulações de "jogos de guerra". Estas implicam reunir uma secção transversal de funcionários da empresa, de TI, marketing, RH, jurídico e outras funções, e executar um cenário de ataque. Esses exercícios não apenas ajudam a quantificar os custos como muitas vezes resultam em efeitos inesperados – por exemplo, obrigações contratuais ou o impacto regulamentar das violações de dados.

Tomar medidas

Em que é que tudo isto resulta para os gerentes de TI? A má notícia é que os ataques de rede são dispendiosos, perturbadores, potencialmente catastróficos em muitos níveis e devem ser evitados a todo custo. A boa notícia é que existe uma excelente ferramenta e um conjunto de serviços disponíveis para ajudar a compreender exatamente como os ataques de violação de dados e de perda de serviço podem afetar a sua empresa. Comparando estes custos com os custos preventivos das tecnologias de proteção de última geração, você ficará mais bem equipado e preparado para entender e articular o valor financeiro e estratégico do aumento do investimento na proteção da rede da sua empresa. Não se trata apenas de um exercício acadêmico, mas de um imperativo em termos empresariais.

* Douglas Rivero é Regional Manager da Dell SonicWALL Brasil