Eis como calcular o retorno do investimento (ROI) da educação do seu pessoal na campanha de sensibilização para a segurança.
Um estudo do Department for Culture, Media, and Sport (DCMS) descobriu que 39% das empresas britânicas sofreram um ataque cibernético em 2022. O custo destas violações não é insignificante. O relatório do DCMS calculou que o impacto financeiro de um único ataque cibernético custou a uma empresa de média dimensão £19.400. Quando se considera que as organizações estão sob a ameaça diária de ataques cibernéticos, isto é motivo de preocupação.
A Formação de Sensibilização para a Segurança é uma das medidas que pode reduzir a probabilidade de um ataque acontecer ou progredir. Isto traduz-se na redução dos custos de um ataque. Mas será que o risco de um ataque vale o preço de realizar um Treinamento de Sensibilização de Segurança?
Itens a incluir no cálculo do ROI da Campanha de Sensibilização para a Segurança
Antes de se iniciar um cálculo de "vale a pena treinar em segurança", é necessário um inventário dos artigos incluídos. Um ataque de segurança cibernética e/ou violação de dados tem muitas partes móveis, cada uma com custos tangíveis e intangíveis.
Eis um olhar sobre alguns dos custos mais prováveis de um ataque cibernético:
A Perda Financeira Directa de um Ataque Cibernético
O impacto directo de um ataque cibernético depende tanto do tipo de ataque cibernético como da organização. Por exemplo, um ataque de resgate pode envolver um pagamento de resgate (embora o pagamento não seja uma estratégia recomendada). No entanto, vale a pena notar que os montantes do resgate têm vindo a aumentar nos últimos anos.
Um relatório da Nordlocker encontrou um aumento de 78% no pagamento médio do resgate, elevando o resgate para um espantoso $541,010 (£478,000).
Os custos de um ataque cibernético também podem incluir danos nos sistemas informáticos, o tempo gasto para remediar o ataque, e acções colectivas: no Reino Unido, o número de acções colectivas após um ataque cibernético aumentou em 120% entre 2018 e 2020.
O custo médio de um ataque cibernético deve ser tido em conta no cálculo do ROI de uma campanha de sensibilização para a segurança. No entanto, isto deve também reflectir o número médio de ataques por ano. Segundo o relatório do DCMS, 31% das empresas e 26% das instituições de caridade estimam que foram atacadas pelo menos uma vez por semana.
Tempo e trabalho para conter uma brecha
Uma das consequências de um ataque cibernético é a dificuldade de localizar a cadeia de exploração e conter os danos. Um relatório da IBM sobre o custo de uma violação de dados revelou que o tempo médio para conter uma violação em 2022 foi de 277 dias. Durante este tempo, os custos aumentam.
Deve incluir o tempo de inactividade do sistema informático, apoio informático e perdas de produtividade estimadas no cálculo do ROI de uma campanha de sensibilização para a segurança.
Danos de Reputação
Os danos de reputação são intangíveis e, portanto, difíceis de quantificar. No entanto, muitos factores entram em jogo após um ataque cibernético, resultando numa reputação negativa. Estes incluem uma perda geral de confiança que afecta os clientes, o preço das acções, e o ecossistema do parceiro.
Esta perda de confiança é aguda quando os clientes deixam uma empresa após uma quebra. Um estudo do YouGov e da Okta concluiu que 88% dos clientes deixarão de utilizar uma empresa se sentirem que não se pode confiar neles para proteger os seus dados.
Os danos de reputação são difíceis de quantificar e, portanto, de acrescentar a uma equação, mas pode ter alguns dados sobre a perda de clientes devido a soluções de business intelligence (BI).
Não-Conformidade e Multas
Vários regulamentos de protecção de dados, incluindo PCI-DSS e GDPR, mandatam ou encorajam fortemente a utilização de Formação de Sensibilização para a Segurança. Portanto, se puder demonstrar que a sua organização utiliza a Formação de Sensibilização para a Segurança, qualquer acção subsequente de aplicação da regulamentação deve considerar este facto.
No entanto, ao calcular o ROI de uma campanha de sensibilização para a segurança, o custo típico de uma multa por incumprimento no seu sector deve ser tido em conta.
Pode encontrar o nível das multas que podem ter impacto na sua empresa após uma infracção do Gabinete do Comissário de Informação (ICO). Por exemplo, o GDPR do Reino Unido e a DPA 2018 fixaram a coima máxima de £17,5 milhões ou 4% do volume de negócios global anual.
Prémios de seguros
De acordo com um estudo das seguradoras Hiscox, 63% das empresas britânicas planeiam adquirir seguros cibernéticos como parte da sua estratégia. Além disso, os prémios podem ser reduzidos se se reduzir o risco através da formação dos empregados em consciência de segurança.
Acrescente o custo do seguro cibernético ao seu ROI de uma campanha de sensibilização para a segurança como parte dos custos globais da sua estratégia de segurança.
Outros custos de ROI incluem:
- O custo do pacote de formação e quaisquer características adicionais, tais como formação em simulação de phishing.
- Custos de administração para a execução do programa.
- Perda de tempo devido a um funcionário que realiza exercícios de Formação de Sensibilização para a Segurança.
Como calcular o ROI da Formação Cibernética de Segurança
Uma vez que tenha os dados, pode ligá-los a uma equação ROI. Felizmente, alguém já pesquisou como gerar uma equação para a Formação de Sensibilização para a Segurança.
Uma equação ROI na sua forma mais simples parece-se com isto:
ROI = Cálculo do ROI das campanhas de sensibilização para a segurança
Onde:
R = Retorno (Benefício)
I = Investimento (Custo)
No entanto, como já viu, calcular o R e I para segurança é mais complicado, uma vez que existem custos intangíveis, tais como danos na reputação.
Felizmente, o pessoal da indústria da segurança tem olhado para a complexidade de elaborar um ROI para o investimento em formação de segurança. Michael Coden, por exemplo, utiliza a investigação do Massachusetts Institute of Technology (MIT).
Um estudo do MIT baseia o cálculo dos custos de incidentes de cibersegurança nos passos que conduzem a um incidente de cibersegurança. Esta investigação tem sido utilizada para desenvolver um quadro conhecido como STACHT. Utilizando este quadro, o Coden desenvolveu uma equação para o ROI dos projectos de cibersegurança (tais como campanhas de formação de sensibilização para a segurança) que inclui:
Onde:
Probabilidade de um Compromisso (PC) = ameaças multiplicadas por vulnerabilidades
Impacto de um Compromisso (CI) = activo multiplicado por perdas se ocorrer um compromisso
A equação do Coden é utilizada por projecto e indica o ROI provável com base em estimativas.
Uma visão mais qualitativa do ROI da Campanha de Sensibilização para a Segurança
Esteja ciente de que o cálculo do ROI da realização de Formação de Sensibilização para a Segurança pode não se resumir a ligar os dados a uma equação. Em vez disso, a simples elaboração de uma lista de custos e impactos potenciais de um ataque cibernético pode ser suficiente para demonstrar que a Formação de Sensibilização para a Segurança vale a pena.
Os seres humanos continuam a ser o foco dos cibercriminosos; se houver alguma forma de quebrar este ciclo, isso conduzirá naturalmente a uma redução do risco e dos custos.
Um relatório de Osterman descreveu a formação em segurança cibernética como "essencial" na prevenção de ciberataques. O relatório destaca a eficácia da formação em segurança, com dados mostrando, por exemplo, que apenas 11% dos empregados conseguiram detectar um e-mail de phishing antes da formação, mas após a formação, 64% foram capazes de detectar tentativas de phishing. Evidências como esta podem ser altamente eficazes quando se trabalha com o benefício da realização de uma campanha de sensibilização para a segurança.