Como as empresas cronometram divulgações de vazamento de dados.

Todos os anos, os dados pessoais de milhões de pessoas, como senhas , detalhes de cartão de crédito ou detalhes de saúde, caem nas mãos de pessoas não autorizadas por meio de hacking ou erros de processamento de dados por empresas.
Todos os anos, os dados pessoais de milhões de pessoas, como senhas , detalhes de cartão de crédito ou detalhes de saúde, caem nas mãos de pessoas não autorizadas por meio de hacking ou erros de processamento de dados por empresas.
Compartilhe

Todos os anos, os dados pessoais de milhões de pessoas, como senhas , detalhes de cartão de crédito ou detalhes de saúde, caem nas mãos de pessoas não autorizadas por meio de hacking ou erros de processamento de dados por empresas.

As consequências para os afetados podem ser devastadoras, desde perdas financeiras até roubo de identidade . Para proteger seus clientes, as empresas em muitos países são obrigadas por lei a relatar tais incidentes às autoridades reguladoras e informar seus clientes. Como resultado, tais vazamentos geralmente se tornam de conhecimento público.

Em tais situações, uma resposta rápida é realmente necessária para limitar a propagação e evitar o abuso dos dados roubados. No entanto, os prazos especificados por leis dão às empresas margem de manobra no momento das divulgações. Na UE, qualquer vazamento de dados que possa resultar em riscos para os indivíduos envolvidos deve ser comunicado em até 72 horas. Nos EUA, os prazos de relatórios variam de 30 a 90 dias por estado.

10 anos, mais de 8.000 vazamentos

Quando Jens Foerderer, professor de inovação e digitalização da Universidade Técnica de Munique ( TUM ), e Sebastian Schuetz, professor de sistemas de informação e análise de negócios da Florida International University, estudaram incidentes desse tipo, ficaram surpresos ao ver que esse compartilhamento os preços foram relativamente insensíveis aos anúncios de violações de dados.

“Isso nos surpreendeu, pois os vazamentos prejudicam a imagem da empresa e levam à perda de confiança dos clientes, o que na verdade deveria levar a uma queda acentuada na cotação do mercado de ações”, diz Jens Förderer. “Nossa hipótese era que a atenção dos investidores estava distraída com outras notícias.”

Os pesquisadores identificaram o tempo de divulgação de mais de 8.000 vazamentos de dados de empresas americanas de capital aberto entre 2008 e 2018, usando informações obtidas da organização sem fins lucrativos Identity Theft Resource Center ( ITRC ). Eles então compararam o cronograma com as datas em que muitas empresas apresentaram seus números trimestrais – datas nas quais era óbvio que grandes quantidades de informações relacionadas ao mercado seriam divulgadas. Para isso, analisaram o Wall Street Journal, o mais importante jornal de negócios dos EUA.

Resultado significativo em caso de violações com causas internas

O estudo confirma a conjectura dos pesquisadores: houve uma incidência significativamente maior de divulgações de violação de dados nos dias em que outras notícias dominaram as manchetes. Houve uma correlação particularmente forte entre a situação geral das notícias e a data de divulgação em caso de violações graves de dados causadas por negligência ou erros internos e em caso de vazamento de informações de saúde ou dados de identidade pessoal.

“Em dias de notícias pesadas, tanto as redações quanto os analistas precisam priorizar as informações que coletam. Nossos resultados sugerem que as empresas agendam estrategicamente a divulgação de vazamentos de dados e visam deliberadamente os horários em que o anúncio receberá menos atenção”, diz Foerderer.

Menor impacto nos preços das ações em dias de notícias pesadas

Em uma segunda etapa, os pesquisadores queriam saber se essa tática era bem-sucedida para as empresas. Para fazer isso, eles analisaram o desempenho das ações das empresas após a divulgação das perdas de dados. Embora os preços das ações tenham sido mais baixos em média, a queda foi de fato menor em dias movimentados de notícias.

“As empresas que enterram seus erros de manipulação de dados sob outras notícias evitam a pressão pública para que elas e outras empresas tomem medidas mais fortes contra violações de dados”, diz Sebastian Schuetz.

Mantenha a margem de manobra ao mínimo

Os pesquisadores recomendam que a margem de manobra para os anúncios de perda de dados seja o mais restritiva possível. “Quanto maior o prazo de divulgação, mais as empresas podem planejar os anúncios estrategicamente e fugir do objetivo real da divulgação”, diz Jens Foerderer.