Eis como calcular o retorno do investimento (ROI) de educar o teu pessoal numa campanha de sensibilização para a segurança.


Um estudo do O Departamento da Cultura, dos Meios de Comunicação Social e do Desporto (DCMS) concluiu que 39% das empresas do Reino Unido sofreram um ataque informático em 2022. O custo destas violações não é insignificante. O relatório do DCMS calculou que o impacto financeiro de um único ataque cibernético custa a uma empresa de média dimensão 19 400 libras. Se tiveres em conta que as organizações são diariamente ameaçadas por ataques informáticos, isto é motivo de preocupação.

A formação em sensibilização para a segurança é uma das medidas que pode reduzir a probabilidade de um ataque acontecer ou progredir. Isto traduz-se numa redução dos custos de um ataque. Mas será que o risco de um ataque vale o preço de realizar a Formação de Sensibilização para a Segurança?

Itens a incluir no cálculo do ROI de uma campanha de sensibilização para a segurança

Antes de começar a calcular se “a formação em segurança vale a pena”, é necessário fazer um inventário dos elementos incluídos. Um ataque à cibersegurança e/ou uma violação de dados tem muitas partes móveis, cada uma com custos tangíveis e intangíveis.

Vê aqui alguns dos custos mais prováveis de um ataque cibernético:

O prejuízo financeiro direto de um ciberataque

O impacto direto de um ciberataque depende tanto do tipo de ciberataque como da organização. Por exemplo, um ataque de ransomware pode implicar o pagamento de um resgate (embora o pagamento não seja uma estratégia recomendada). No entanto, é de notar que os montantes dos resgates têm vindo a aumentar nos últimos anos.

Um relatório da Nordlocker revelou um aumento de 78% no pagamento médio do ransomware, elevando o resgate para uns impressionantes 541 010 dólares (478 000 libras).

Os custos de um ataque informático podem também incluir danos nos sistemas de TI, o tempo gasto para remediar o ataque e acções colectivas: no Reino Unido, o número de acções colectivas após um ataque informático aumentou 120% entre 2018 e 2020.

O custo médio de um ataque informático deve ser tido em conta no cálculo do ROI de uma campanha de sensibilização para a segurança. No entanto, este valor deve também refletir o número médio de ataques por ano. De acordo com o relatório do DCMS, 31% das empresas e 26% das instituições de solidariedade social estimam que foram atacadas pelo menos uma vez por semana.

Tempo e trabalho para conter uma violação

Uma das consequências de um ciberataque é a dificuldade em localizar a cadeia de exploração e conter os danos. Um  O relatório da IBM sobre o custo de uma violação de dados revelou que o tempo médio para conter uma violação em 2022 era de 277 dias. Durante este tempo, os custos aumentam.

Deves incluir o tempo de inatividade do sistema informático, o apoio informático e as perdas de produtividade estimadas no cálculo do ROI de uma campanha de sensibilização para a segurança.

Danos à reputação

Os danos à reputação são intangíveis e, por isso, difíceis de quantificar. No entanto, muitos factores entram em jogo após um ataque informático que resulta numa reputação negativa. Estes incluem uma perda geral de confiança que afecta os clientes, o preço das acções e o ecossistema de parceiros.

Esta perda de confiança é acentuada quando os clientes abandonam uma empresa após uma violação. A  O estudo da YouGov e da Okta concluiu que 88% dos clientes deixarão de utilizar uma empresa se sentirem que esta não é de confiança para proteger os seus dados.

Os danos à reputação são difíceis de quantificar e, por conseguinte, de adicionar a uma equação, mas talvez tenhas alguns dados sobre a perda de clientes devido às soluções de Business Intelligence (BI).

Incumprimento e coimas

Vários regulamentos de proteção de dados, incluindo o PCI-DSS e o GDPR, exigem ou incentivam fortemente a utilização da Formação de sensibilização para a segurança. Por conseguinte, se conseguires demonstrar que a tua organização utiliza a formação em sensibilização para a segurança, qualquer ação de execução regulamentar subsequente deve ter em conta este facto.

No entanto, ao calcular o ROI de uma campanha de sensibilização para a segurança, deve ser tido em conta o custo típico de uma multa por incumprimento no seu sector.

Podes encontrar o nível de multas que podem afetar a tua empresa após uma violação no Information Commissioner’s Office (ICO). Por exemplo, o GDPR e o DPA 2018 do Reino Unido estabelecem uma coima máxima de 17,5 milhões de libras ou 4% do volume de negócios anual global.

Prémios de seguro

De acordo com um estudo das seguradoras Segundo a Hiscox, 63% das empresas do Reino Unido tencionam adquirir um seguro cibernético como parte da sua estratégia. Além disso, os prémios podem ser reduzidos se reduzires o risco através da formação dos empregados em matéria de sensibilização para a segurança.

Acrescenta o custo do seguro cibernético ao ROI de uma campanha de sensibilização para a segurança como parte dos custos globais da tua estratégia de segurança.

Outros custos de ROI incluem:

  • O custo do pacote de formação e quaisquer caraterísticas adicionais, como a formação de simulação de phishing.
  • Custos administrativos para o funcionamento do programa.
  • Tempo perdido devido ao facto de um empregado realizar exercícios de formação de sensibilização para a segurança.

Como calcular o ROI da formação em cibersegurança

Quando tiveres os dados, podes ligá-los a uma equação de ROI. Felizmente, alguém já pesquisou como gerar uma equação para a formação em sensibilização para a segurança.

Uma equação ROI na sua forma mais simples tem o seguinte aspeto:

ROI = Cálculo do ROI das campanhas de sensibilização para a segurança

Onde:

R = Retorno (Benefício)

I = Investimento (Custo)

No entanto, como viste, o cálculo do R e I para a segurança é mais complicado, uma vez que existem custos intangíveis, como os danos à reputação.

Felizmente, as pessoas do sector da segurança têm analisado a complexidade de calcular o ROI do investimento em formação em segurança. Michael Coden, por exemplo, utiliza a investigação do Massachusetts Institute of Technology (MIT).

Um estudo do MIT baseia o cálculo dos custos dos incidentes de cibersegurança nas etapas que conduzem a um incidente de cibersegurança. Esta investigação foi utilizada para desenvolver um quadro conhecido como  STACHT. Utilizando este quadro, a Coden desenvolveu uma equação para o ROI de projectos de cibersegurança (como campanhas de formação de sensibilização para a segurança) que inclui:

Captura3

Onde:

Probabilidade de um Compromisso (PC) = ameaças multiplicadas por vulnerabilidades

Impacto de um Compromisso (IC) = ativo multiplicado por perdas se ocorrer um compromisso

A equação de Coden é utilizada por projeto e indica o ROI provável com base em estimativas.

Uma visão mais qualitativa do ROI das campanhas de sensibilização para a segurança

Tem em atenção que o cálculo do ROI da formação de sensibilização para a segurança pode não se resumir à introdução de dados numa equação. Em vez disso, basta elaborar uma lista de potenciais custos e impactos de um ataque informático para demonstrar que a formação de sensibilização para a segurança vale a pena.

Os seres humanos continuam a ser o foco dos cibercriminosos; se houver alguma forma de quebrar este ciclo, isso conduzirá naturalmente a uma redução do risco e dos custos.

Um O relatório Osterman descreveu a formação em cibersegurança como “essencial” para evitar ciberataques. O relatório destaca a eficácia da formação em segurança, com dados que mostram, por exemplo, que apenas 11% dos funcionários conseguiam detetar um e-mail de phishing antes da formação, mas que, após a formação, 64% eram capazes de detetar tentativas de phishing. Provas como esta podem ser muito eficazes para calcular os benefícios de uma campanha de sensibilização para a segurança.

Formação de sensibilização para a segurança para fornecedores terceiros