<p>Embora não haja nenhuma fórmula exata ou calculadora de “custo de ataques”, existem algumas diretrizes e pesquisas úteis que podem fornecer aos gestores de TI algumas técnicas e recursos para desenvolverem o seu próprio modelo de custos. Há três áreas principais que são importantes para avaliar o impacto dos ataques vindos da rede e o “valor de prevenção” das tecnologias de firewall de última geração:</p>
<p>· * definir os diferentes tipos de ataques provenientes da rede;</p>
<p>· * compreender como esses ataques podem afetar a receita;</p>
<p>· * métodos para quantificar o impacto desses ataques.</p>
<p>Tipos de ataque através da rede</p>
<p>Há centenas de tipos de ataques provenientes da rede que podem prejudicar uma organização. Entre as formas mais comuns, incluem-se:</p>
<p>· * vírus, cavalos-de-troia, worms e outros malwares que podem desligar servidores e estações de trabalho ou roubar dados;</p>
<p>· * ameaças persistentes avançadas projetadas para penetrar redes e se apropriar furtivamente de informações confidenciais e propriedade intelectual;</p>
<p>· * ataques distribuídos de negação de serviço (DDoS) e de inundação, que podem sobrecarregar servidores e fechar sites na web.</p>
<p>Como os ataques através da rede podem afetar a sua receita</p>
<p>É aqui que dói — os ataques causam duas grandes categorias de danos, independentemente da origem: violação de dados e perda de serviço.</p>
<p>A violação de dados é sempre um assunto que ganha uma cobertura excepcional na imprensa, pois resulta em informações confidenciais sendo capturadas e removidas furtivamente da organização para as mãos de criminosos ou concorrentes.</p>
<p>Os danos causados pela violação de dados são visíveis e muito prejudiciais. Podem ser financeiros (receitas perdidas, despesas legais e regulamentares, indenizações e multas), custos “suaves” (perda de boa vontade e fidelidade do cliente) e perda de competitividade (pela perda de propriedade intelectual). As empresas que sofrem violações de dados gastam uma quantidade anormal de tempo e dinheiro em custos de detecção e remediação técnica, identificando e bloqueando os ataques, enquanto avaliam os danos e criam medidas corretivas. Além disso, a publicidade negativa sobre uma violação de dados dura muito além do ataque propriamente dito.</p>
<p>Os ataques de negação de serviço resultam em sistemas de computador – estações de trabalho, servidores web, bancos de dados ou aplicativos – sendo degradados ou completamente desativados. Entre os efeitos financeiros incluem-se:</p>
<p>Os danos neste caso também podem ser catastróficos. A atividade comercial fica lenta ou pára completamente e, por isso, a receita é diretamente impactada. Os processos rotineiros são interrompidos, ou os funcionários não podem fazer o seu trabalho porque a rede está fora do ar. Como no caso da violação de dados, há um custo real associado ao pessoal de TI e de suporte ao ter de diagnosticar problemas, treinar funcionários, reiniciar os serviços e refazer a imagem dos PCs.</p>
<p>Então, como calcular os custos?</p>
<p>Como observamos antes, não existe um modelo de custos único para todos.</p>
<p>Duas fontes independentes que podem ajudar a quantificar o impacto dos ataques provenientes da rede podem ser encontradas em um estudo de março de 2012 do Ponemon Institute e no estudo da NetDiligence® sobre Indenizações de Seguro por Ciberresponsabilidade e Violação de Dados, publicado em outubro de 2012.</p>
<p>No final de 2011, o Ponemon Institute realizou entrevistas detalhadas para 49 empresas dos EUA em 14 setores que sofreram a perda ou o roubo de dados pessoais de clientes. Eis algumas das principais conclusões:</p>
<p>· * Custo total médio de uma violação de dados: US$ 5,5 milhões.</p>
<p>· * Receitas perdidas por cada violação: US$ 3 milhões</p>
<p>· * Custos pós-violação de dados: US$ 1,5 milhões (abrangendo tudo: helpdesk, remediação, descontos de cliente e muito mais)</p>
<p>Os números por registro — baseados em quantidades relativamente grandes (normalmente 100 mil registros) — podem dar aos gerentes de TI alguma ideia dos custos associados com as violações de dados, ajustados ao tamanho da empresa e ao número de ameaças normalmente enfrentadas.</p>
<p>O estudo da NetDiligence analisou 137 eventos entre 2009 e 2011 que resultaram em pagamento, pelas seguradoras, de indenizações por ciberresponsabilidade. Pagamentos médios:</p>
<p>· * Liquidação judicial por evento: US$ 2,1 milhões</p>
<p>· * Defesa jurídica por violação: US$ 582.000</p>
<p>· * Custo médio total de pagamento de seguros por evento: US$ 3,7 milhões.</p>
<p>Embora estes dois estudos meçam diferentes elementos dos custos relacionados aos ataques de rede, em um aspecto eles são compatíveis — ambos ilustram o quanto os ataques da rede são caros para a empresa, a sua reputação e a sua capacidade de competir no mercado.</p>
<p>Além destes números, há alguns cálculos rápidos que podem ajudar a justificar o investimento necessário em tecnologias de firewall de rede de última geração:</p>
<p>· * a perda de receitas por cada hora que o site fica fora do ar ou com o desempenho significativamente prejudicado por causa de um ataque de DDoS;</p>
<p>· * a perda de produtividade por cada hora que um processo de negócios essencial fica fora do ar por causa de um malware que desabilite o servidor;</p>
<p>· * a tarifa por hora do pessoal de helpdesk para diagnosticar infecções de malware em PCs e do grupo de suporte para reconfigurar PCs infectados;</p>
<p>· * o custo por registro para notificar os clientes ou funcionários em caso de violação de dados e fornecer-lhes serviços de monitoramento de crédito por um ano.</p>
<p>Duas técnicas adicionais podem ser úteis na estimativa de custo dos ataques. Algumas organizações criaram estimativas detalhadas de possíveis implicações futuras mediante a realização de simulações de “jogos de guerra”. Estas implicam reunir uma secção transversal de funcionários da empresa, de TI, marketing, RH, jurídico e outras funções, e executar um cenário de ataque. Esses exercícios não apenas ajudam a quantificar os custos como muitas vezes resultam em efeitos inesperados – por exemplo, obrigações contratuais ou o impacto regulamentar das violações de dados.</p>
<p>Tomar medidas</p>
<p>Em que é que tudo isto resulta para os gerentes de TI? A má notícia é que os ataques de rede são dispendiosos, perturbadores, potencialmente catastróficos em muitos níveis e devem ser evitados a todo custo. A boa notícia é que existe uma excelente ferramenta e um conjunto de serviços disponíveis para ajudar a compreender exatamente como os ataques de violação de dados e de perda de serviço podem afetar a sua empresa. Comparando estes custos com os custos preventivos das tecnologias de proteção de última geração, você ficará mais bem equipado e preparado para entender e articular o valor financeiro e estratégico do aumento do investimento na proteção da rede da sua empresa. Não se trata apenas de um exercício acadêmico, mas de um imperativo em termos empresariais.<br /><br />(*) Regional Manager da Dell SonicWALL Brasil</p>
