O custo de uma violação de segurança do site WordPress

Uma violação de segurança pode ser cara. Muitos estudos e estatísticas colocam a média de uma violação de segurança na casa dos milhões de dólares. Esta figura, no entanto, não significa muito sem contexto. De fato, pode ser complicado obter um custo médio para uma violação de segurança. As complicações surgem do fato de que muitos fatores entram em jogo. Os fatores incluem as circunstâncias da violação, sua extensão e que tipo de dados os invasores roubaram.

Administradores do WordPress e proprietários de sites podem se sentir inclinados a minimizar os riscos de uma violação de segurança. Afinal, há apenas um site para proteger, e isso é fácil com uma senha forte, certo?

Na realidade, as coisas são um pouco mais complexas. O WordPress não funciona no vácuo e deve depender de outros sistemas para funcionar. O número de sistemas que se enquadram no seu alcance depende em grande parte do seu plano de hospedagem. De qualquer forma, seria sensato reconhecer que existem sistemas diferentes e apresentar algum risco, por menor que seja. Afinal, até mesmo provedores de hospedagem respeitáveis ​​sofrem violações.

Este artigo listará os custos mais significativos associados a uma violação de segurança, com foco específico em sites e administradores do WordPress. Também analisaremos os fatores que normalmente afetam os custos para ajudá-lo a entender quais são seus riscos e níveis de exposição caso você sofra uma violação de segurança.

Nota: por precaução, leia este guia para verificar se o seu site WordPress foi invadido.

Fatores

Esses são alguns dos principais fatores a serem considerados ao estimar o custo de uma violação de segurança. Como a seção abaixo irá mostrar, cada fator também pode ter muitas variáveis, que podem variar amplamente os custos reais. De qualquer forma, eles representam um bom ponto de partida.

Que tipo de dados foi comprometido?

O primeiro fator que precisamos considerar é o tipo de dados que foi comprometido. Isto é especialmente verdadeiro se envolver dados pessoais. Se os dados pessoais foram roubados, você também precisa considerar se isso pertence a funcionários, clientes ou ambos, pois isso afetará os custos.

A próxima coisa que você precisa observar é que tipo de dados pessoais foram roubados. Por exemplo, se você tem uma loja de comércio eletrônico e as informações de cartão de crédito ou dados de saúde foram comprometidos, isso aumentaria os custos. Esses dados são muito pessoais e podem ter repercussões negativas nas pessoas afetadas pela violação de segurança.

Quantas pessoas foram afetadas?

O número de pessoas afetadas pela violação também afetará o custo. Certas obrigações legais e de conformidade também entram em ação quando um limite é ultrapassado; no entanto, isso varia de uma jurisdição para outra.

Como aconteceu a violação?

Entender como a violação aconteceu é outro fator crucial que pode contribuir para o custo. Isso ajudará a determinar se a violação foi devido a negligência ou não. Se a negligência desempenhou um papel na violação, os custos tendem a subir.

Este é o primeiro incidente?

Os incidentes subsequentes tendem a ter um preço mais alto do que as violações da primeira vez. Os dois principais direcionadores de custos aqui são multas e custos de reputação.

Será que vai virar notícia?

Se é provável que a violação de segurança seja notícia, você pode esperar que os custos aumentem dependendo se ela atingirá notícias regionais, locais, nacionais ou internacionais.

Onde você está baseado?

A localização da empresa ou entidade que administra o site também afetará diretamente os custos. Isso se deve principalmente a quaisquer requisitos legais e/ou obrigações que a lei da jurisdição impõe em tais casos.

Custos

Agora que abordamos os fatores, podemos analisar os maiores custos normalmente associados a uma violação de dados.

Jurídico

Um advogado e, em alguns casos, um coach de violação são atores essenciais que ajudam empresas e administradores do WordPress a navegar pelas ramificações muitas vezes complexas de uma violação de dados. Eles também são úteis quando se trata de multas, possíveis ações legais e muitos outros custos associados a uma violação de dados.

forense

As equipes forenses ajudam a determinar os caminhos a seguir. Se você possui uma loja de comércio eletrônico como o WooCommerce, também pode esperar que as operadoras de cartão solicitem uma equipe forense especializada para avaliar o que aconteceu. Os custos são muitas vezes suportados pela empresa que sofreu a violação.

PR e gestão de crises

Dependendo do tamanho da violação, uma equipe de gerenciamento de crises e uma pessoa ou equipe de relações públicas podem ajudar a conter as consequências. A verdade é que uma violação pode levar a danos à reputação e perda de receita no futuro, e é por isso que é essencial controlar.

Notificação de violação

A notificação de violação é uma exigência da lei nos EUA. As regras variam dependendo do estado e da extensão da violação.

Suporte ao cliente

Em muitos casos, as empresas são obrigadas a fornecer a seus clientes um número de telefone gratuito para o qual eles podem ligar para obter mais informações sobre a violação. Aqui você precisa pensar se tem capacidade existente para essas chamadas ou se precisa terceirizá-la.

Monitoramento de crédito

Em algumas jurisdições, as empresas são obrigadas a fornecer serviços de monitoramento de crédito aos clientes cujos dados foram roubados, garantindo assim que eles não sofram fraudes. Mesmo assim, é sempre uma boa prática oferecer tal serviço e pode mitigar os danos à reputação sofridos pela violação.

Multas

As multas podem vir em todas as formas e tamanhos. Eles dependem principalmente da jurisdição em que você reside, da extensão da violação, do tipo de dados comprometidos e do setor em que você opera. Por exemplo, violações de dados na UE podem estar sujeitas a multas do GDPR, que podem chegar a 4% da receita. Nos EUA, as violações da HIPAA são processadas pelo Procurador Geral do Estado e pelo OCR. As multas do PCI também podem ser cobradas nos casos em que os dados do cartão de crédito foram roubados.

Ações judiciais

Cerca de 5% das violações relatadas acabam em algum tipo de litígio; no entanto, vários fatores precisam ser considerados aqui. É claro que os advogados são o melhor recurso para oferecer orientação aqui; no entanto, vale a pena manter em mente.

Prevenção é melhor que a cura

Uma violação de dados acarreta muitos custos caros. Alguns custos são imediatos e diretos; outros são de longo prazo e difíceis de avaliar, como a perda de receita devido a danos à reputação. Em muitos casos, os custos de uma violação de dados podem ser altos o suficiente para acabar com uma empresa. Felizmente, existe uma saída mais fácil.

É importante reconhecer que as infraestruturas de TI geralmente são complexas e as violações podem ser iniciadas a partir de qualquer ponto – às vezes até de dentro. Como tal, uma política de segurança abrangente do WordPress é de importância crítica; um que inclui avaliação e mitigação de riscos, bem como um plano sobre como as violações são tratadas.

Além disso, embora não seja exatamente a bala de prata, a autenticação de dois fatores chega muito perto. Considere isto. 81% das violações são realizadas por meio do uso de credenciais roubadas. A MFA interrompe cerca de 99,9% desses ataques – ajudando você a eliminar uma grande porcentagem de risco por meio de uma tecnologia.

Grandes empresas, incluindo Google e Microsoft, estão apoiando o 2FA, reconhecendo sua eficácia na redução de riscos. Como administrador do WordPress ou proprietário de um site, você também pode aproveitar o 2FA para melhorar sua segurança com o WP 2FA – um plug-in 2FA fácil de instalar e gerenciar que vem com alguns dos mais avançados e extensos conjuntos de recursos disponíveis.

Comece hoje mesmo com um teste de 14 dias sem risco.