Quais são os verdadeiros custos empresariais de um vazamento de dados?

A resposta a essa pergunta é "depende". Depende de quais dados ou informações vazaram, de quem teve acesso potencial a eles, do volume de dados envolvido, se é uma classe de dados regulamentados ou protegidos, o que o destinatário (hacker?) das informações fará com os dados etc.

Vamos analisar os tipos de custos de negócios que podem ser aplicados, dependendo da natureza e extensão do vazamento.

• Perda de informações confidenciais ou sigilosas: esta é exatamente a definição adequada de um vazamento de dados. Alguém agora tem a posse ou o acesso aos seus dados ou informações e pode fazer qualquer coisa que quiser com eles. Pode vendê-los, usá-los para benefício próprio ou até mesmo para chantagear ou constranger você ou seus clientes. As proporções desta perda, e quem detém suas informações, praticamente determinarão os custos monetários do vazamento de dados. É claro que, caso a perda seja de propriedade intelectual, o impacto pode ser muito maior que a perda financeira e ferir a capacidade de competição da sua empresa.
• Não conformidade com um requisito regulamentar: a maioria das organizações têm informações que se enquadram no escopo de regulamentação do governo ou do setor — como HIPAA, GLBA, FERPA, PCI DSS e SOX. Um item comum entre todas elas é a exigência de proteger algum tipo de informação confidencial. Podem ser dados financeiros, informações pessoais de saúde (PHI), informações de identificação pessoal (PII), informações pessoais não públicas (NPI), registros escolares de estudantes, pesquisa de exportação controlada ou outros tipos de informações regulamentadas. Cada um desses regulamentos define as sanções e ramificações da exposição de dados. As repercussões variam de multas a processos civis ou criminais, como no caso da GLBA;  ou por violações de PCI DSS, para maior controle dos sistemas de computadores, suspensão potencial ou expulsão das redes de processamento de cartões e de responsabilidade por fraude, e encargos associados.
• Notificações de clientes e monitoramento de crédito: nem todo vazamento desencadeará a necessidade de notificações caras e monitoramento de crédito contínuo. As ações subsequentes serão em grande parte determinadas pelas exigências regulamentares que regem os dados comprometidos. A maioria dos estados exige que o procurador-geral do Estado e os clientes sejam notificados caso as informações pessoais ou financeiras possam ter sido comprometidas. Além disso, você pode ser obrigado a fornecer até um ano de serviços de monitoramento de crédito aos clientes afetados pela perda de dados.
• Danos à marca: qualquer organização que sofra um vazamento público de dados está suscetível à perda de confiança dos clientes e danos à marca. Quem quer fazer negócios com uma empresa que não pode proteger os dados sob sua responsabilidade?  Em um estudo de 2011 do Ponemon Institute que avaliou a perda de reputação nos negócios após um vazamento de dados, 76% dos executivos cujas empresas tiveram vazamento de dados dos clientes disseram que o evento teve um impacto significativo ou moderado na reputação da empresa. Além disso, pode demorar um ano ou mais para restaurar a reputação e a imagem da marca após um vazamento.
• Perda de capitalização de mercado: intimamente relacionado aos danos à marca, um vazamento de dados pode ter impacto substancial no valor das ações da sua empresa, já que os investidores perdem a confiança. Por exemplo, após o vazamento da Target Corporation em 2013, o Wall Street Journal relatou que as ações da companhia caíram significativamente após o anúncio do vazamento.
• Análise forense dos seus sistemas de computadores: a menos que você possa identificar a causa do vazamento de dados de forma rápida e específica — por exemplo, um e-mail errôneo que envia dados regulamentados não criptografados para uma grande lista de distribuição — você pode ser obrigado a, ou pelo menos desejar, contratar uma equipe profissional de investigação forense para avaliar detalhadamente os seus sistemas para determinar a causa do vazamento.
• Substituição, reparo ou reforço de sistemas comprometidos: dependendo do que a equipe forense descobrir, talvez você tenha que gastar tempo e dinheiro para corrigir as falhas e implantar meios de proteção para reduzir a probabilidade de outro incidente.

Não é fácil definir um simples valor para o custo de um vazamento de dados. As despesas podem aumentar rapidamente e se estender por anos.

Muitas organizações acreditam estar gastando muito em prevenção; hoje, no entanto, "prevenção" é geralmente considerada como uma ferramenta que impede os hackers de entrarem, e não foca necessariamente o vazamento de dados. A importância de abordar ambos é essencial. As ferramentas de colaboração empresarial segura podem ajudar em relação aos vazamentos. Este certamente é o momento de respeitar e observar o velho ditado: é melhor prevenir que remediar.