Home Prodotti Sicurezza Qual è il vero costo di una violazione di sicurezza

Qual è il vero costo di una violazione di sicurezza

Come possono le aziende stimare il costo reale di una violazione della sicurezza? Bisogna chiederselo perché le decisioni strategiche devono trovare un equilibrio tra costi, sicurezza e usabilità. Tuttavia, una valutazione del costo dei rischi per la sicurezza IT è particolarmente difficile perché esistono tante variabili sconosciute e resoconti diversi.

Lo scorso anno uno studio di Ponemon Institute sul costo di una violazione dei dati aveva dichiarato che il costo medio di una grossa violazione dei dati era di 4 milioni di dollari. Corrisponderebbe a 150 dollari per ciascun account violato, ma alcuni analisti di mercato collocano questa cifra molto più in basso.

Costo differente

Se confrontiamo i risultati di cui sopra con una relazione ancora precedente, del 2015, dalla Federal Trade Commission (FTC) degli Stati Uniti, che aveva classificato i vari costi di attacchi informatici come violazioni di dati, incidenti di sicurezza, violazioni della privacy e singoli crimini finanziari come episodi di phishing e skimming, troviamo risultati incredibilmente differenti.

Pur stimando che i costi totali da cyber attacchi ammontavano a 10 miliardi di dollari ogni anno, il FTC aveva trovato che tipicamente il costo di una violazione dei dati era inferiore ai 200.000 dollari.

L’ultima società fallita a causa di una violazione dei dati è stata un’azienda che processava pagamenti ad alto rischio, Cardsystems, più di dieci anni fa. Tuttavia, molte aziende hanno subito gravi perdite finanziarie.

Ad esempio, Home Depot sta ancora affrontando le ripercussioni di una violazione dei dati avvenuta nel 2014. Recentemente ha accettato di pagare alle banche ulteriori 25 milioni di dollari – oltre a 179 milioni già spesi – per giungere a un accordo. E quando Saudi Aramco è stato colpito dal malware Shamoon, ha dovuto sostituire 30.000 sistemi.

Perdite da cyberattacchi e altri costi

Secondo l’analista della sicurezza Adrian Sanabria di 451 Research, c’è il sospetto che il costo effettivo delle violazioni sia molto più basso di quello che il settore cerca di far credere.

Ne abbiamo parlato con Gianfranco Gargiulo, Orange Business Services Solution Architect, per il quale quantificare il costo di una violazione dei dati non è una scienza esatta.

Gianfranco Gargiulo Orange
Gianfranco Gargiulo, Orange Business Services Solution Architect

Si comincia dai costi diretti della violazione, come il monitoraggio del credito al consumo, le multe, le spese per le compensazioni legali e quelle per le indagini esterne. Il costo per migliorare le procedure e i processi di sicurezza IT è, sicuramente, un investimento che dovrebbe essere fatto in precedenza.

Inoltre, esistono costi indiretti per i quali è più difficile fare delle stime, come il danno di reputazione e l’impatto sulla crescita del business, sia nelle vendite sia nella capacità di attirare nuovi talenti e partnership.

In secondo luogo, quando si studiano i costi di una violazione, è importante separare gli attacchi alla sicurezza dal furto di dati. Gli attacchi alla sicurezza possono essere molto più dannosi del furto di dati, perché spesso provocano conseguenze negative dirette ai processi aziendali.

Tecnologia e processi

Le compagnie di cyber assicurazioni stimano i costi delle violazioni dei dati per polizze progettate per settori verticali diversi. Ad esempio, è possibile ottenere una copertura assicurativa in ambito cyber fino a un massimale di 30 milioni di dollari, come fa studio legale di San Francisco, Hogan Lovells.

Importi di questa natura rappresentano il peggiore scenario possibile, ma come da tempo sostengono gli analisti di Bitdefender, servono a mettere le cose in prospettiva in termini di quanto un’azienda possa rischiare.

Decisione strategica

Stabilire le priorità di investimento è una decisione strategica. Non si tratta semplicemente di quanto un’azienda dovrebbe investire in sicurezza. L’obiettivo è implementare tecnologie e processi in grado di limitare il rischio aziendale.

La security è un “lavoro in corso” che deve essere costantemente rimodellato intorno a ogni linea di business e alle sue mutevoli esigenze.

Quindi, chi propone al consiglio di amministrazione un investimento in sicurezza dovrebbe contestualizzare i numeri parlando di taglio dei costi operativi, di aumento dell’efficienza e delle attuali tendenze per quanto riguarda le minacce.

Il costo della shadow IT

L’anello debole della catena della sicurezza è il fattore umano, ed è lì che dovrebbero andare le priorità di investimento. Questo è il motivo per cui la shadow IT è potenzialmente così dannosa per le politiche aziendali di sicurezza.

Per aggirare le conseguenze negative del BYOD, bisognerebbe spendere una parte significativa del budget di sicurezza nella formazione dei dipendenti, includendo argomenti quali come identificare tentativi di phishing, gestire i dati aziendali ed intercettare i tentativi di “ingegneria sociale”.

Una buona strategia di cybersecurity dovrebbe proteggere le attività aziendali cruciali come la proprietà intellettuale, i dati finanziari e quelli dei clienti e garantire la continuità aziendale dopo una violazione dei dati.

Lo cinque cose da fare per limitare il costo

Le tecnologie di crittografia dei dati in transito e a riposo sono sempre vitali, così come le strategie di backup e ripristino e di risposta agli attacchi.

Progettare protezioni di sicurezza stratificate che lavorino di concerto con policy di autorizzazione e autenticazione dell’ azienda consente di aumentare i costi connessi all’attacco di cybercriminali e così di rendere l’obiettivo meno allettante.

Le imprese dovrebbero sempre identificare gli asset cruciali prima di creare policy di sicurezza. Tutte le policy dovrebbero comportare autorizzazioni di accesso basate su authenticazione forte.

Le tecnologie di accountability, che indicano compromissioni durante o dopo una violazione dei dati, sono fondamentali.

La misurazione e il monitoraggio sono cruciali nella gestione della sicurezza e funzionano esclusivamente quando si è in grado di ricostruire accuratamente la sequenza di eventi.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche
css.php