Il “2013 Cost of Data Breach Study”, pubblicato nei giorni scorsi da Ponemon Institute, mostra chiaramente che un modo per contenere le perdite legate alle violazioni dei dati è diffondere al minor numero di persone possibile le disavventure della propria organizzazione.
Lo studio, sponsorizzato da Symantec, ha rilevato che il costo medio per record perso in un incidente è aumentato di poco nel corso dell’ultimo anno, passando da 130 a 136 dollari. Le aziende di Germania e Stati Uniti hanno sperimentato i costi piĂą alti, rispettivamente 199 e 188 dollari, nel primo anno in cui il costo per record perso negli Stati Uniti non è risultato il piĂą alto.
L’ottavo report annuo stilato dalla societĂ di analisi si basa sulle esperienze delle violazioni di dati reali sperimentate da 277 aziende in nove paesi, tra cui Stati Uniti, Regno Unito, Francia, Germania, Italia, India, Giappone, Australia e Brasile. Tutti gli incidenti studiati si sono verificati nel corso dell’anno solare 2012.
Lo studio rileva che sono diversi gli elementi correlati alle minori perdite per-record. Le societĂ statunitensi e britanniche sono riuscite a realizzare la piĂą grande riduzione dei costi di violazione dei dati grazie a una strategia che prevede un piano di risposta agli incidenti piuttosto preciso unito alla presenza di una figura chiara e preparata quale quella di un CISO (Chief Information Security Officer). Gli Stati Uniti e la Francia hanno ottenuto la maggior riduzione dei costi dal coinvolgimento dei consulenti esterni nelle fasi si supporto alla bonifica dei dati violati.
Nel discutere i risultati, Larry Ponemon, presidente e fondatore di Ponemon Institute, suggerisce che il piĂą grande fattore che influenza il costo della violazione è il numero di persone informate. “Le aziende che hanno dovuto notificare a un numero rilevante di persone una violazione hanno sperimentato danni enormi all’immagine dell’organizzazione e ai suoi marchi – commenta l’esperto, sottolineando che le aziende, di fronte all’incertezza sul numero di record violati, spesso avvisano il maggior numero possibile di clienti, anche quelli al sicuro -. Questo fenomeno di over-notifica è costoso, perchĂ© i clienti notificati si comportano tutti come se i loro dati fossero stati violati, indipendentemente dal fatto che questo sia avvenuto o meno”.
La gestione delle notifiche, giĂ di per sĂ© ha un costo esorbitante: la relazione rileva che i costi tipici della notifica includono le attivitĂ informatiche connesse alla creazione delle banche dati relative alle informazioni di contatto, la determinazione di tutti i requisiti normativi, l’impegno degli esperti esterni e tutti gli altri sforzi utili per assicurarsi che le vittime siano messe al corrente del fatto che le loro informazioni personali sono state compromesse. Le organizzazioni statunitensi e tedesche sono quelle che mediamente hanno speso di piĂą in questa fase (565.020 e 353.927 dollari rispettivamente). Brasile e India si sono, invece, rivelate le piĂą virtuose, spendendo per le attivitĂ di notifica 53.063 e 22.232 rispettivamente.
Indipendentemente dall’entitĂ dei costi di notifica, però, la maggior parte dei costi in tutti i paesi è legata alla componente indiretta, mette in guardia l’esperto. “I costi diretti sono piĂą facili da verificare, perchĂ© normalmente è possibile associarli a qualche tipo di spesa out-of-pocket. I costi indiretti sono quelli legati alle conseguenze sulle attivitĂ future e sull’immagine dell’impresa, decisamente piĂą ardui da misurare”.
Negli Stati Uniti, secondo il rapporto, i costi indiretti rappresentano il 68% delle perdite, corrispondenti a una spesa media di 3 milioni di dollari, in contrazione rispetto ai 5,4 milioni di dollari registrati l’anno precedente. Per contro, in Brasile i costi indiretti rappresentano solo il 41% della perdita media. A livello globale, i costi diretti complessivi sono stati stimati nel 47% del totale, contro quindi il 53% di quelli indiretti.
I risultati dell’indagine mostrano che, in media, le societĂ australiane e statunitensi sperimentano violazioni dei dati che hanno portato al maggior numero di record esposti o compromessi (34.249 e 28.765 rispettivamente). In media, le aziende italiane e giapponesi si distinguono per il minor numero di record violati (18.285 e 18.237 rispettivamente). Lo studio non include esplicitamente le violazioni piĂą grandi, ovvero quelle con un numero di record compromessi superiore alle 10.000 unitĂ , “perchĂ© non sono rappresentativi della maggior parte delle violazioni dei dati sperimentate dalle aziende nel mondo e includerli nello studio vorrebbe dire falsare i risultati”, ha precisato Ponemon.
Mentre un terzo delle violazioni è dovuto a errori commessi all’interno delle organizzazioni, un altro 33% è causato da attacchi criminali e questo causa un’impennata nelle spese utili a neutralizzare gli effetti del cybercrime in tutti i nove paesi presi in esame. Le societĂ statunitensi e tedesche hanno sperimentato gli incidenti relativi a violazione dei dati piĂą costosi, con una spesa per record compromesso pari a 277 e 214 dollari rispettivamente. Brasile e India hanno sperimentato il minor costo di violazione dei dati causata da attacchi esterni, con una spesa pari rispettivamente a 71 e 46 dollari per singolo record compromesso.
