Leia a primeira parte desse post nesse link.
Se eu tivesse que resumir o primeiro post dessa série em apenas uma frase, seria: a média não é a melhor forma de entender um dataset. E assim é com os custos de uma invasão. E quando esse dataset é distorcido, a média é ainda menos significativa.
Com isso, fica um pouco mais fácil entender o que está acontecendo com a controvérsia sobre os custos de uma invasão. Um artigo do portal Fortune conseguiu explicar a diferença entre os custos de ataque da Ponemon por dado roubado e as estatísticas da Verizon.
Segundo o autor, a Ponemon faz duas coisas que exageram sua média de custo. A primeira é que eles incluem custos indiretos, como potenciais negócios perdidos, danos à imagem da marca, entre outros. A forma com a qual a Ponemon faz esse levantamento não é necessariamente ruim, mas os números precisam ser interpretados de forma diferente. A segunda é que a média de 201 dólares por dado roubado não é um bom preditor, como qualquer outra média bruta, e para um conjunto de dados distorcidos acaba sendo um número inútil.
De acordo com o Identity Theft Resource Center (ITRC), já foram identificadas mais de 1000 invasões e cerca de 171 milhões de dados roubados. Se usarmos o cálculo da Ponemon, a conta seria a seguinte: 201 dólares x 171 milhões, resultando 34 bilhões de dólares de custos de ataques de segurança. E isso não faz o menor sentido.
Já a média de US$ 0.58 da Verizon é baseada na revisão dos dados reais sobre reivindicações de seguro fornecidas pela NetDiligence. E essa média também é falha porque acaba minimizando o problema.
No artigo, o autor fala que os custos de violação não crescem de forma linear, e concordamos com isso. A tabela da Verizon mostra como diferentes ataques têm custos diferentes.
O problema de estabelecer uma média de custos para invasões é que a segurança de dados é bastante complexa, existem diversas curvas e cada empresa pode avaliar o custo de acordo com o que considera importante.
A tabela de custos de incidentes
Existe uma simples tabela que divide os custos médios de um ataque em três grupos: Economia, Economia Plus e Business Class. Similar ao que fez a Verizon, o grupo Economia representa 50% dos incidentes, Economy Plus 40% e Business Class 10%.
No próximo post, vou tentar contar uma história com base na tabela acima e, em seguida, oferecer mais pensamentos sobre a batalha de custos de violação entre Verizon e Ponemon.
Contar histórias apenas com números pode ser perigoso. Há limites para o jornalismo “direcionado por dados”, e é aí que a abordagem qualitativa da Ponemon possui algumas vantagens significativas.
Até o próximo.