{"id":428,"date":"2026-02-12T17:42:05","date_gmt":"2026-02-12T16:42:05","guid":{"rendered":"https:\/\/ap4592jwt1io3f.apeiroo.com\/?p=428"},"modified":"2026-03-09T08:16:02","modified_gmt":"2026-03-09T07:16:02","slug":"quantificacao-do-risco-cibernetico-baseada-em-dados-2","status":"publish","type":"post","link":"https:\/\/apeiroo.com\/pt\/data-driven-cyber-risk-quantification-2\/","title":{"rendered":"Quantifica\u00e7\u00e3o do risco cibern\u00e9tico com base em dados"},"content":{"rendered":"
\n
\n
\n

<\/p>\n

Um guia estrat\u00e9gico para CISOs<\/p>\n

<\/p>\n

<\/p>\n

1<\/strong>. C\u00e1lculo do impacto dos incidentes cibern\u00e9ticos<\/strong><\/h1>\n

<\/p>\n

<\/p>\n

Continuemos a nossa jornada para entender como usar os dados para impulsionar as nossas decis\u00f5es estrat\u00e9gicas no desenvolvimento e or\u00e7amenta\u00e7\u00e3o da nossa estrat\u00e9gia de ciberseguran\u00e7a.<\/p>\n

<\/p>\n

<\/p>\n

Houve v\u00e1rias tentativas de calcular o custo por hora de inatividade para uma organiza\u00e7\u00e3o que enfrenta um incidente cibern\u00e9tico (independentemente do tipo). Em 2014, um estudo da Gartner sobre o custo da inatividade estimou o valor em US$ 5.600 por minuto. Posteriormente, em 2016, o Ponemon Institute calculou o valor em US$ 9.000 por minuto.
Em 2014, um estudo da Gartner sobre o custo do tempo de inatividade apresentou uma estimativa de 5600 d\u00f3lares por minuto. Mais tarde, em 2016, o Ponemon Institute estimou o valor em 9000 d\u00f3lares por minuto.<\/p>\n

<\/p>\n

<\/p>\n

Independentemente do setor, e embora varie de acordo com a empresa, um evento cibern\u00e9tico \u00e9 sempre caro. No entanto, usar uma m\u00e9dia derivada dos dados das empresas mais proeminentes pode n\u00e3o ajudar adequadamente um CISO a convencer o Conselho sobre a necessidade de investir em uma estrat\u00e9gia de ciberseguran\u00e7a. Portanto, para trazer algo realmente significativo para a sua organiza\u00e7\u00e3o, devemos usar uma calculadora e os dados da sua pr\u00f3pria empresa.<\/p>\n

<\/p>\n

<\/p>\n

Embora nem o Ponemon Institute nem a Gartner tenham revelado as f\u00f3rmulas exatas que utilizam para quantificar os montantes financeiros decorrentes de viola\u00e7\u00f5es de dados, indicaram claramente que tiveram em conta atividades legais, regulat\u00f3rias e t\u00e9cnicas, bem como a estimativa da perda de valor da marca, a rotatividade de clientes e a redu\u00e7\u00e3o da produtividade dos funcion\u00e1rios.<\/p>\n

<\/p>\n

<\/p>\n

\"\"<\/figure>\n

<\/p>\n

<\/p>\n

Fonte<\/strong>: IBM & Ponemon Institute, an\u00e1lise Apeiroo<\/p>\n

<\/p>\n

Os n\u00fameros representam o custo em milh\u00f5es de d\u00f3lares americanos (USD) de uma viola\u00e7\u00e3o de dados cibern\u00e9ticos.<\/p>\n

<\/p>\n

<\/p>\n

Todos estes elementos nos d\u00e3o pistas sobre como realizar os nossos pr\u00f3prios c\u00e1lculos financeiros em rela\u00e7\u00e3o a eventos cibern\u00e9ticos. Por uma quest\u00e3o de transpar\u00eancia, decidimos esclarecer um pouco esses componentes. Consideramos bastante lament\u00e1vel que nenhum estudo anterior tenha publicado uma metodologia clara para que os CISOs possam calcular por si mesmos os custos de um incidente cibern\u00e9tico. A seguir, apresentamos a nossa tentativa de estimar o custo aproximado de incidentes cibern\u00e9ticos, levando em considera\u00e7\u00e3o despesas diretas, indiretas e de oportunidade:<\/p>\n

<\/p>\n

<\/p>\n

    \n
      <\/p>\n
    • Custos diretos: <\/strong>o desembolso econ\u00f3mico direto necess\u00e1rio para realizar uma determinada atividade (por exemplo, contratar consultores externos de resposta a incidentes, externalizar o suporte de uma linha telef\u00f3nica).<\/li>\n<\/ul>\n<\/ul>\n

      <\/p>\n

      <\/p>\n

        \n
          \n
        • Custos indirectos: <\/strong>o tempo, esfor\u00e7o e outros recursos organizacionais investidos, mas que n\u00e3o envolvem um desembolso direto de dinheiro (por exemplo, investiga\u00e7\u00f5es internas, comunica\u00e7\u00f5es internas).<\/li>\n<\/ul>\n<\/ul>\n

          <\/p>\n

          <\/p>\n

            \n
              \n
            • Custos de oportunidade: <\/strong>custos decorrentes de oportunidades de neg\u00f3cio perdidas como consequ\u00eancia dos efeitos negativos na reputa\u00e7\u00e3o ap\u00f3s a notifica\u00e7\u00e3o da viola\u00e7\u00e3o \u00e0s v\u00edtimas e a sua divulga\u00e7\u00e3o p\u00fablica nos meios de comunica\u00e7\u00e3o social.<\/li>\n<\/ul>\n<\/ul>\n

              <\/p>\n

              <\/p>\n

              <\/p>\n

              1<\/strong>.1 C\u00e1lculo do custo da inatividade em sal\u00e1rios<\/strong><\/h2>\n

              <\/p>\n

              <\/p>\n

              Calcular o impacto financeiro em termos de produtividade \u00e9 um processo simples:<\/p>\n

              <\/p>\n

              <\/p>\n

              Passo 1:<\/strong> Determinar o sal\u00e1rio m\u00e9dio por hora dos funcion\u00e1rios afetados. Esta informa\u00e7\u00e3o pode ser facilmente obtida no departamento de recursos humanos. Uma estimativa m\u00e9dia que n\u00e3o se afaste muito do valor validado \u00e9 aceit\u00e1vel.<\/p>\n

              <\/p>\n

              <\/p>\n

              Passo 2:<\/strong> Determinar o fator de impacto na produtividade do evento de inatividade. (Por exemplo, se a liga\u00e7\u00e3o principal \u00e0 Internet for perdida devido a um ataque de nega\u00e7\u00e3o de servi\u00e7o (DDoS) e n\u00e3o houver backup dispon\u00edvel, o que isso significaria para todos os departamentos?). Este fator pode variar de 10% a 100%, dependendo da natureza da interrup\u00e7\u00e3o e do tipo de trabalho realizado pelos funcion\u00e1rios afetados.<\/p>\n

              <\/p>\n

              <\/p>\n

              Custo da inatividade = E \u00d7 I% \u00d7 S<\/strong><\/p>\n

              <\/p>\n

              <\/p>\n

              Onde:<\/p>\n

              - E = N\u00famero de funcion\u00e1rios afetados
              - I% = Fator de produtividade (percentagem afetada pelo incidente)
              - S = Sal\u00e1rio m\u00e9dio por hora<\/p>\n

              <\/p>\n

              <\/p>\n

              <\/p>\n

              Exemplo:<\/strong> Numa equipa de 500 profissionais a operar num modelo totalmente na nuvem, o c\u00e1lculo seria:\n87,97 USD (sal\u00e1rio m\u00e9dio por hora) \u00d7 90% (n\u00edvel assumido de impacto na produtividade) \u00d7 500 (funcion\u00e1rios afetados) = 39 586,50 $ por hora.<\/strong><\/p>\n

              <\/p>\n

              <\/p>\n

              Este \u00e9 o custo interno direto para a empresa, apenas em sal\u00e1rios. Mas e os custos de conformidade e os custos de oportunidade?<\/p>\n

              <\/p>\n

              <\/p>\n

              1<\/strong>.2 O m\u00e9todo do custo total<\/strong><\/h2>\n

              <\/p>\n

              <\/p>\n

              Se quisermos oferecer mais detalhes para descrever a magnitude do problema aos respons\u00e1veis pela tomada de decis\u00f5es na organiza\u00e7\u00e3o, devemos dar alguns passos adicionais. Um m\u00e9todo integral consiste em somar os custos internos diretos (dinheiro que a organiza\u00e7\u00e3o realmente perder\u00e1) aos custos de receita (a receita perdida que n\u00e3o pode ser cobrada dos clientes durante a inatividade).<\/p>\n

              <\/p>\n

              <\/p>\n

              F\u00f3rmula do custo de produtividade<\/strong><\/h3>\n

              <\/p>\n

              <\/p>\n

              Custo de produtividade = E \u00d7 I% \u00d7 C \u00d7 H<\/strong><\/p>\n

              <\/p>\n

              <\/p>\n

              Onde:<\/p>\n

              - E = N\u00famero de funcion\u00e1rios afetados
              - I% = Porcentagem de afeta\u00e7\u00e3o (por exemplo, eles podem continuar realizando 50% do seu trabalho mesmo que o acesso aos aplicativos seja interrompido?)
              50 % de su trabajo incluso despu\u00e9s de que se interrumpa el acceso a la aplicaci\u00f3n?
              - C = Custo m\u00e9dio por hora de um trabalhador para a empresa (incluindo um 30 % de
              despesas gerais de forma\u00e7\u00e3o, eletricidade, aluguer, etc.)
              - H = N\u00famero de horas de inatividade<\/p>\n

              <\/p>\n

              <\/p>\n

              <\/p>\n

              F\u00f3rmula de perda de receitas<\/strong><\/h3>\n

              <\/p>\n

              <\/p>\n

              Perda de receitas = (GR \/ AH<\/strong>) \u00d7 I% \u00d7<\/strong> H<\/strong><\/p>\n

              <\/p>\n

              <\/p>\n

              Onde:<\/p>\n

              - GR = Rendimento bruto (anual)
              - AH = N\u00famero total de horas de trabalho (anual). Uma estimativa v\u00e1lida: 220 dias
              \u00d7 8 horas = 1760 horas por trabalhador
              - I% = Percentagem de impacto na capacidade de ganho
              - H = N\u00famero de horas de inatividade<\/p>\n

              <\/p>\n

              <\/p>\n

              <\/p>\n

              1<\/strong>Custos de recupera\u00e7\u00e3o e conformidade<\/strong><\/h2>\n

              <\/p>\n

              <\/p>\n

              O c\u00e1lculo dos custos de recupera\u00e7\u00e3o e conformidade n\u00e3o tem uma f\u00f3rmula objetiva, pelo que devemos utilizar estimativas discricion\u00e1rias com base nas circunst\u00e2ncias espec\u00edficas da organiza\u00e7\u00e3o. As seguintes atividades devem ser consideradas ao elaborar a estimativa:<\/p>\n

              <\/p>\n

              \u2022\tInvestiga\u00e7\u00e3o do incidente: horas da equipa interna de TI e seguran\u00e7a, mais investigadores forenses externos, se necess\u00e1rio. Os encargos t\u00edpicos de investiga\u00e7\u00e3o forense variam entre 25 000 e mais de 250 000 USD, dependendo da complexidade.
              \u2022\tDetermina\u00e7\u00e3o do alcance da viola\u00e7\u00e3o de dados: identifica\u00e7\u00e3o dos titulares dos dados afetados para poss\u00edveis notifica\u00e7\u00f5es regulat\u00f3rias e aos clientes. Isso geralmente requer ferramentas especializadas de minera\u00e7\u00e3o e an\u00e1lise de dados.
              \u2022\tPrepara\u00e7\u00e3o das notifica\u00e7\u00f5es e divulga\u00e7\u00f5es necess\u00e1rias: honor\u00e1rios legais, apresenta\u00e7\u00f5es regulat\u00f3rias e custos de notifica\u00e7\u00e3o aos clientes. Os custos por registo notificado variam normalmente entre 1 e 5 USD por indiv\u00edduo afetado, mais honor\u00e1rios legais entre 200 e 500 USD por hora.
              \u2022\tServi\u00e7os de monitoriza\u00e7\u00e3o de cr\u00e9dito e prote\u00e7\u00e3o de identidade: frequentemente exigidos ou esperados em viola\u00e7\u00f5es que envolvem dados pessoais. Custos t\u00edpicos: entre 10 e 30 d\u00f3lares por pessoa afetada por ano.
              Costes t\u00edpicos: entre 10 y 30 d\u00f3lares anuales por persona afectada.
              \u2022\tRemedia\u00e7\u00e3o e fortalecimento de sistemas: Custos para corrigir vulnerabilidades, reconstruir sistemas comprometidos e implementar controles de seguran\u00e7a adicionais para evitar recorr\u00eancias.
              \u2022\tForma\u00e7\u00e3o p\u00f3s-incidente: Atualiza\u00e7\u00e3o de programas de sensibiliza\u00e7\u00e3o para a seguran\u00e7a e forma\u00e7\u00e3o espec\u00edfica com base nas li\u00e7\u00f5es aprendidas.<\/p>\n

              <\/p>\n

              <\/p>\n

              <\/p>\n

              1<\/strong>.4 An\u00e1lise de custo-benef\u00edcio: ROI do seguro e do contrato de presta\u00e7\u00e3o de servi\u00e7os\u00a0<\/strong><\/h2>\n

              <\/p>\n

              <\/p>\n

              Os exemplos a seguir demonstram como investir em um seguro cibern\u00e9tico e em um retainer de resposta a incidentes pode superar significativamente os custos potenciais decorrentes da materializa\u00e7\u00e3o de um risco cibern\u00e9tico em termos de inatividade empresarial.<\/p>\n

              <\/p>\n

              <\/p>\n

              Exemplo 1: Empresa de servi\u00e7os financeiros de m\u00e9dio porte<\/strong><\/h3>\n

              <\/p>\n

              <\/p>\n

              Perfil da organiza\u00e7\u00e3o: 2.000 funcion\u00e1rios, 400 milh\u00f5es de USD de receita anual, custo m\u00e9dio de viola\u00e7\u00e3o na \u00e1rea da sa\u00fade: 10,1 milh\u00f5es de USD (de acordo com a IBM\/Ponemon) <\/strong>500 empregados, 150 milh\u00f5es de d\u00f3lares em receitas anuais, sal\u00e1rio m\u00e9dio de 95.000 d\u00f3lares por ano (45,67 d\u00f3lares por hora).<\/p>\n

              <\/p>\n

              <\/p>\n

              \n\n\n\n\n\n\n
              Investimento<\/strong><\/td>\nCusto anual<\/strong><\/td>\n<\/tr>\n
              Seguran\u00e7a cibern\u00e9tica (cobertura de 5 milh\u00f5es de d\u00f3lares)<\/td>\n75,000$<\/td>\n<\/tr>\n
              Retentor de IR (100 horas\/ano)<\/td>\n35,000$<\/td>\n<\/tr>\n
              Investimento anual total<\/strong><\/td>\n110,000$<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/figure>\n

              <\/p>\n

              <\/p>\n

              Custos potenciais de um incidente de ransomware de 48 horas (sem seguro):<\/strong><\/p>\n

              <\/p>\n

              - Perda de produtividade: 500 \u00d7 80 % \u00d7 45,67 $ \u00d7 48 = 877 000
              - Perda de receitas: (150 milh\u00f5es de d\u00f3lares \/ 1760) \u00d7 75 % \u00d7 48 = 3 068 000
              - Servi\u00e7os de resposta a incidentes de emerg\u00eancia (sem taxa de reten\u00e7\u00e3o): 150 000
              - Recupera\u00e7\u00e3o e repara\u00e7\u00e3o: 500 000 $
              \u2022 Exposi\u00e7\u00e3o potencial total: 4 595 000 $<\/strong><\/p>\n

              <\/p>\n

              <\/p>\n

              <\/p>\n

              Retorno do investimento: <\/strong>ROI: O investimento anual de 110.000 USD representa apenas 2,4% da exposi\u00e7\u00e3o potencial de um \u00fanico incidente. Mesmo que a organiza\u00e7\u00e3o sofra apenas um incidente significativo a cada 5 anos, o investimento gera um retorno de 7,4:1.<\/p>\n

              <\/p>\n

              <\/p>\n

              Exemplo 2: Organiza\u00e7\u00e3o de sa\u00fade<\/strong><\/h3>\n

              <\/p>\n

              <\/p>\n

              Perfil da organiza\u00e7\u00e3o: 2.000 funcion\u00e1rios, 400 milh\u00f5es de USD de receita anual, custo m\u00e9dio de viola\u00e7\u00e3o na \u00e1rea da sa\u00fade: 10,1 milh\u00f5es de USD (de acordo com a IBM\/Ponemon) <\/strong>2000 empleados, ingresos anuales de 400 millones de d\u00f3lares, coste medio de las infracciones en el sector sanitario: 10,1 millones de d\u00f3lares (seg\u00fan IBM\/Ponemon)<\/p>\n

              <\/p>\n

              <\/p>\n

              Investimento recomendado:<\/strong><\/p>\n

              - Seguro cibern\u00e9tico (cobertura de US$ 10 milh\u00f5es): US$ 200.000\/ano
              - Reten\u00e7\u00f5es de rela\u00e7\u00f5es p\u00fablicas (200 horas por ano): 65 000 d\u00f3lares por ano
              - Total: 265 000 USD por ano (2,6 % do custo m\u00e9dio de uma infra\u00e7\u00e3o)<\/p>\n

              <\/p>\n

              <\/p>\n

              <\/p>\n

              Dado o elevado custo das viola\u00e7\u00f5es no setor de sa\u00fade e a exposi\u00e7\u00e3o regulat\u00f3ria sob a HIPAA, esse investimento oferece prote\u00e7\u00e3o financeira cr\u00edtica enquanto a organiza\u00e7\u00e3o desenvolve a maturidade do seu programa de seguran\u00e7a.<\/p>\n

              <\/p>\n

              <\/p>\n

              Refer\u00eancias<\/strong><\/h1>\n

              <\/p>\n

              <\/p>\n

                \n
                  <\/p>\n
                1. Allianz Risk Barometer (2012-2024). Pesquisa Anual de Risco Empresarial Global. Allianz Global Corporate & Specialty.
                  2. IBM Security e Ponemon Institute. Relat\u00f3rio sobre o custo das viola\u00e7\u00f5es de dados (2013-2024).
                  3.\tCybereason (2022). \u201cRansomware: The True Cost to Business.\u201d https:\/\/www.cybereason.com\/ransomware-the-true-cost-to-business-2022<\/a>
                  4. Allianz Global Corporate & Specialty (2015). \u00abOrienta\u00e7\u00f5es sobre o risco cibern\u00e9tico: gerir o impacto da crescente interconectividade\u00bb.
                  5. Financial Times. \u00abOs gestores de risco alertam para o facto de o seguro cibern\u00e9tico poder tornar-se um produto invi\u00e1vel\u00bb.
                  6. Gartner (2014). \u00abO custo do tempo de inatividade\u00bb.
                  7. Instituto Ponemon (2016). \u00abCusto das interrup\u00e7\u00f5es de servi\u00e7o nos centros de dados\u00bb.<\/li>\n<\/ol>\n<\/ol>\n

                  <\/p>\n

                  <\/p>\n<\/div><\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"","protected":false},"author":1,"featured_media":430,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-428","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"_links":{"self":[{"href":"https:\/\/apeiroo.com\/pt\/wp-json\/wp\/v2\/posts\/428","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/apeiroo.com\/pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/apeiroo.com\/pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/apeiroo.com\/pt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/apeiroo.com\/pt\/wp-json\/wp\/v2\/comments?post=428"}],"version-history":[{"count":11,"href":"https:\/\/apeiroo.com\/pt\/wp-json\/wp\/v2\/posts\/428\/revisions"}],"predecessor-version":[{"id":2356,"href":"https:\/\/apeiroo.com\/pt\/wp-json\/wp\/v2\/posts\/428\/revisions\/2356"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/apeiroo.com\/pt\/wp-json\/wp\/v2\/media\/430"}],"wp:attachment":[{"href":"https:\/\/apeiroo.com\/pt\/wp-json\/wp\/v2\/media?parent=428"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/apeiroo.com\/pt\/wp-json\/wp\/v2\/categories?post=428"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/apeiroo.com\/pt\/wp-json\/wp\/v2\/tags?post=428"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}