Un data breach e il suo impatto potenziale sul business

Calcolare i costi potenziali di un data breach alla nostra organizzazione serve a prendere decisioni importanti. Ecco di quali fattori tenere conto*. Leggi il post completo

Il Data Breach. A chi è già successo

Succede tutti i giorni: siti, server di posta di brand aziendali noti (o di partiti politici, di enti pubblici in primis sanitari) sono stati compromessi. Milioni i record di consumatori e cittadini esposti in rete. La borsa e l'opinione pubblica entrano in fibrillazione. Noi stiamo a guardare, grati che non riguardi noi e andiamo avanti. Pensiamo che l'impensabile non accada mai alla nostra azienda. Ma in un'epoca in cui così tante informazioni sensibili sono pubblicate, gestite e scambiate online, una violazione dei dati non è affatto impensabile.

Le violazioni dei dati possono essere uno dei tipi di crisi più costosi a colpire il nostro business. Fare della governance e della conformità una priorità nell'attività quotidiana e avere un'infrastruttura adeguata che supporti tutti le aree dell'attività, aiuterà ad essere preparati a questo tipo di evento, risparmiandoci perdite per milioni nel lungo periodo. Soprattutto aiuterà a conservare la fiducia dei clienti.

Margas si occupa del trasferimento assicurativo del rischio informatico. Considera la prevenzione una necessità per abbassare il rischio e assicurarsi meglio. Per questo consiglia Progetto Cyr: un percorso personalizzato di analisi e mitigazione. In particolare una serie di servizi volti a definire l'esposizione economica potenziale di un attacco informatico e di un fermo d'attività (Margas), cosìccome le eventuali vulnerabilità dell'infrastruttura ICT, del personale e reputazionali (partner). Ma andiamo a vedere più da vicino le implicazioni di un Data Breach.

Quante sono le perdite di dati?

Come conferma il Rapporto Gemalto sui Data Breach su scala mondiale nel primo semestre 2018 sono stati più di 3,3 miliardi i record compromessi e 18,5 milioni i record rubati o persi ogni giorno.

Quanto costa perdere un dato*

Molte persone sottovalutano il costo di una violazione dei dati, ma gli effetti possono essere veramente devastanti. Il costo complessivo della criminalità informatica per le aziende statunitensi è stimato in 300 miliardi di dollari ogni anno.

Quando si tratta di calcolare il costo di una violazione dei singoli dati, ci sono due modelli riconosciuti: quello adottato dall’Istituto Ponemon e quello del rapporto Verizon Data Breach Investigations.

La lettura del Ponemon Institute

Il Ponemon Institute parla di un costo medio per violazione di dati negli Stati Uniti pari a $ 6.5 milioni. Si tratta $ 217 per record perso. Nel settore delle industrie regolamentate, come la Sanità, ad esempio, il costo di un record perso sarebbe di $ 398.

La lettura del Verizon Report

Il Verizon Report, invece, stima il costo per record perso a $ 0,58. Questo valore è significativamente inferiore a quello del Ponemon Institute. Infatti Verizon predilige un approccio graduato, stimando il costo di una violazione di dati come rientrante in una scala di valori a blocchi di record:

Fino a 100k di record persi, il costo sarebbe compreso tra $366 e $614; per 1 mega di record persi, tra $ 892 e $1.78 milioni; per 10 mega di record persi, il costo è compreso tra $ 2.13 e $ 5.24 milioni.

Entrambi i modelli collocano il costo diretto di una violazione nell’ordine del milione di dollari. Ma questa è solo la punta dell'iceberg.

I costi di cui non si tiene conto

Nel calcolo del costo di una violazione di dati, è necessario prendere in considerazione i danni causati da backlash dei social media e dalla copertura mediatica di lunga durata. Nell'era social il prezzo pagato per il sentiment pubblico negativo e il danno reputazionale possono ben superare quello del crimine stesso. La crisi sarà percepita da decine di centinaia di persone, dai canali digitali, in diverse aree geografiche e si conquisterà i titoli sui media sollevando un polverone (e commenti) come mai prima.

Anche quando la violazione dei dati fosse stata risolta, stabilite le responsabilità e gli eventuali addebiti, la crisi non può considerarsi chiusa. Sarà una battaglia in salita dimostrare ai nostri clienti – sfiduciati - che in futuro sapremo proteggere meglio le loro informazioni private e che potranno di nuovo fidarsi di noi. E nel frattempo la nostra azienda potrebbe perdere clienti consolidati e potenziali.

Il Ponemon Institute calcola un costo medio derivante da perdita di business (ad esempio i costi derivati dal turnover dei clienti, dal calo di fatturato e maggiori attività per acquisire nuovi clienti) di 1,57 milioni di dollari. Uno studio di Deloitte ha fatto eco a questi risultati, concludendo che il 59% dei consumatori sarebbe meno propenso ad acquistare da una società di cui sanno che ha subito una violazione.

Il Data Breach. E se capitasse a me?

Per preparare la nostra azienda e il nostro marchio ad affrontare questa evenienza, dovremo prima capire quanto vale per noi una violazione di dati - definita come la perdita di informazioni inerenti dipendenti, clienti o altre informazioni riservate – e quanto costerebbe alla nostra azienda.

Una valutazione preventiva dell'impatto totale di una violazione dei dati è fondamentale per l’allocazione a bilancio di risorse per la pianificazione della prevenzione e gestione delle crisi.

Proviamo dunque a mettere in evidenza i fattori di cui tener conto per fare una stima dei costi che dovremmo affrontare, se i dati sotto il nostro controllo finissero nelle mani sbagliate.

Vuoi leggere il seguito? Conoscere quali sono gli elementi da inserire in un calcolo di massima sull'impatto potenziale da Data Breach? Il post completo su www.margas.it

* Grazie a splinkr e noima per il materiale e le idee