Violazione dei dati: perdita di business e turnover dei clienti le conseguenze più rilevanti. Secondo il Data Breach Study di Ponemon la violazione dei dati è costata alle aziende italiane fino ad un massimo di € 2.570. 622 nello scorso anno
Symantec ha annunciato i risultati del 2011 Cost of Data Breach Study, l’indagine condotta da Ponemon per conto di Symantec riguardante i costi derivanti dalle violazioni dei dati subiti dalle aziende. Lo studio, iniziato a gennaio 2011 e concluso nel dicembre dello stesso anno, ha visto il coinvolgimento di professionisti IT ed esperti di sicurezza e compliance.
Lo studio ha evidenziato che la violazione dei dati è costata in termini di business in media alle aziende italiane €474.793 nel 2011, con un picco massimo di € 2.570. 622, mentre il costo di ciascun record perso o rubato è stato di 78€, cifra che dipende da quanto l’azienda ha speso per rimediare alla violazione.
Si è notata una forte correlazione tra la portata dell’incidente e i costi totali derivanti, con un range che varia da € 211.733 a € 4.010.407. In particolare, perdita di business e dei clienti rappresentano le voci più significative dei costi, comportando un grave danno per le aziende, mentre la causa principale della violazione risulta essere la negligenza e gli attacchi criminali sono causati prevalentemente dai criminal insider.
I principali risultati dello studio sono:
• I costi della violazione dei dati
In media, il costo per le aziende italiane di ciascun record perso o rubato è di 78€. Per record si intendono le informazioni che identificano un individuo le cui informazioni personali sono state compromesse da una violazione dei dati. Di questi 78€, una larga parte (35%) riguarda la perdita di business, mentre il resto è speso in indagini e notifiche alle vittime della violazione. I primi tre settori più colpiti sono il tecnologico, seguito dal finanziario e al terzo posto da quello farmaceutico.
• I costi derivanti dalla perdita di business costituiscono la componente più rilevante nella totalità dei costi e dipendono soprattutto dal turnover dei clienti
Nel 2011, i costi derivanti dalla perdita di business ammontavano in media a €474.793, dovuti principalmente al maggior turnover dei clienti, (fino al 3,5% e superiore alla perdita media di clienti del settore) al diminuire delle opportunità di acquisizione di nuovi clienti e alla perdita di credibilità.
• I costi di notifica rappresentano la voce minore nella media dei costi derivanti da una violazione dei dati
Le attività di notifica, ovvero le misure adottate per segnalare la violazione di informazioni protette alle vittime della violazione, includono attività IT quali la creazione di un database dei contatti, il coinvolgimento di esperti esterni, le spese postali e le comunicazioni in entrata. Il costo medio, nel 2011, per le aziende italiane è stato di €57.500.
• I costi aziendali per la scoperta e l’escalation della causa principale della violazione dei dati variano significativamente
I costi di scoperta ed escalation, in media €458.864 nel 2011, sono quelli che una azienda deve affrontare per rilevare una violazione quando si verifica e informarne il personale competente entro uno specifico lasso di tempo. Questi costi generalmente includono le attività legali ed investigative, i servizi di valutazione e verifica, la gestione delle crisi e la comunicazione al management e al board dei dirigenti.
• La negligenza è la causa principale della violazione dei dati
Il 39% delle aziende italiane intervistate sostiene che la causa principale della violazione dei dati è la negligenza, a seguire il 33% indica i difetti del sistema, inclusi gli errori nei processi di business e IT; infine, per il 28% la violazione è dovuta ad un attacco criminale o malevolo. Per questo motivo, le aziende devono focalizzarsi sulle tecnologie, le policy e i processi in grado di affrontare le minacce provenienti dal dipendente negligente, dal malicious insider o dall’hacker.
• Gli attacchi criminali sono causati prevalentemente dai criminal insider
Il 60% delle aziende intervistate che ha subito 2 o più attacchi, sostiene che sono stati causati dai criminal insider mentre il 40% ha evidenziato che gli attacchi provenivano da agenti elettronici quali virus, malware, worm a trojan.
Ci sono inoltre alcuni fattori organizzativi che possono influenzare i costi di una violazione, riducendo o aumentando le perdite:
• La violazione dipende dalla perdita o il furto dei dispositivi.
• E’ la prima volta che l’azienda ha subito una violazione.
• Le aziende informano le vittime della violazione in tempi rapidi.
• La violazione è dovuta alla perdita o al furto causati da terze parti.
• Coinvolgimento di un esperto per risolvere la violazione dei dati.
• Il CISO (o altro C-level equivalente) si assume la responsabilità generale della protezione dei dati aziendali.
Le aziende che informano le vittime della violazione entro 30 giorni possono ridurre i costi mediamente di 29€; così come, se in azienda il CISO ha la responsabilità generale della protezione dei dati aziendali, questo comporta una riduzione dei costi in media di 23€. Questi due elementi, quindi, avvantaggiano economicamente in maniera significativa e positiva le aziende,mentre invece i restanti quattro aggravano i costi.
Alla luce di questi dati, Symantec raccomanda di seguire precise best practice che prevedano l’utilizzo di tecnologie per la prevenzione della perdita delle informazioni e che consentano la conformità alle policy di sicurezza, valutare i rischi attraverso l’individuazione e classificazione delle informazioni riservate ed educare i dipendenti in materia di protezione informatica.
