Il “2013 Cost of Data Breach Study”, pubblicato nei giorni scorsi da Ponemon Institute, mostra chiaramente che un modo per contenere le perdite legate alle violazioni dei dati è diffondere al minor numero di persone possibile le disavventure della propria organizzazione.
Lo studio, sponsorizzato da Symantec, ha rilevato che il costo medio per record perso in un incidente è aumentato di poco nel corso dell’ultimo anno, passando da 130 a 136 dollari. Le aziende di Germania e Stati Uniti hanno sperimentato i costi più alti, rispettivamente 199 e 188 dollari, nel primo anno in cui il costo per record perso negli Stati Uniti non è risultato il più alto.
L’ottavo report annuo stilato dalla società di analisi si basa sulle esperienze delle violazioni di dati reali sperimentate da 277 aziende in nove paesi, tra cui Stati Uniti, Regno Unito, Francia, Germania, Italia, India, Giappone, Australia e Brasile. Tutti gli incidenti studiati si sono verificati nel corso dell’anno solare 2012.
Lo studio rileva che sono diversi gli elementi correlati alle minori perdite per-record. Le società statunitensi e britanniche sono riuscite a realizzare la più grande riduzione dei costi di violazione dei dati grazie a una strategia che prevede un piano di risposta agli incidenti piuttosto preciso unito alla presenza di una figura chiara e preparata quale quella di un CISO (Chief Information Security Officer). Gli Stati Uniti e la Francia hanno ottenuto la maggior riduzione dei costi dal coinvolgimento dei consulenti esterni nelle fasi si supporto alla bonifica dei dati violati.
Nel discutere i risultati, Larry Ponemon, presidente e fondatore di Ponemon Institute, suggerisce che il più grande fattore che influenza il costo della violazione è il numero di persone informate. “Le aziende che hanno dovuto notificare a un numero rilevante di persone una violazione hanno sperimentato danni enormi all’immagine dell’organizzazione e ai suoi marchi – commenta l’esperto, sottolineando che le aziende, di fronte all’incertezza sul numero di record violati, spesso avvisano il maggior numero possibile di clienti, anche quelli al sicuro -. Questo fenomeno di over-notifica è costoso, perché i clienti notificati si comportano tutti come se i loro dati fossero stati violati, indipendentemente dal fatto che questo sia avvenuto o meno”.
La gestione delle notifiche, già di per sé ha un costo esorbitante: la relazione rileva che i costi tipici della notifica includono le attività informatiche connesse alla creazione delle banche dati relative alle informazioni di contatto, la determinazione di tutti i requisiti normativi, l’impegno degli esperti esterni e tutti gli altri sforzi utili per assicurarsi che le vittime siano messe al corrente del fatto che le loro informazioni personali sono state compromesse. Le organizzazioni statunitensi e tedesche sono quelle che mediamente hanno speso di più in questa fase (565.020 e 353.927 dollari rispettivamente). Brasile e India si sono, invece, rivelate le più virtuose, spendendo per le attività di notifica 53.063 e 22.232 rispettivamente.
Indipendentemente dall’entità dei costi di notifica, però, la maggior parte dei costi in tutti i paesi è legata alla componente indiretta, mette in guardia l’esperto. “I costi diretti sono più facili da verificare, perché normalmente è possibile associarli a qualche tipo di spesa out-of-pocket. I costi indiretti sono quelli legati alle conseguenze sulle attività future e sull’immagine dell’impresa, decisamente più ardui da misurare”.
Negli Stati Uniti, secondo il rapporto, i costi indiretti rappresentano il 68% delle perdite, corrispondenti a una spesa media di 3 milioni di dollari, in contrazione rispetto ai 5,4 milioni di dollari registrati l’anno precedente. Per contro, in Brasile i costi indiretti rappresentano solo il 41% della perdita media. A livello globale, i costi diretti complessivi sono stati stimati nel 47% del totale, contro quindi il 53% di quelli indiretti.
I risultati dell’indagine mostrano che, in media, le società australiane e statunitensi sperimentano violazioni dei dati che hanno portato al maggior numero di record esposti o compromessi (34.249 e 28.765 rispettivamente). In media, le aziende italiane e giapponesi si distinguono per il minor numero di record violati (18.285 e 18.237 rispettivamente). Lo studio non include esplicitamente le violazioni più grandi, ovvero quelle con un numero di record compromessi superiore alle 10.000 unità, “perché non sono rappresentativi della maggior parte delle violazioni dei dati sperimentate dalle aziende nel mondo e includerli nello studio vorrebbe dire falsare i risultati”, ha precisato Ponemon.
Mentre un terzo delle violazioni è dovuto a errori commessi all’interno delle organizzazioni, un altro 33% è causato da attacchi criminali e questo causa un’impennata nelle spese utili a neutralizzare gli effetti del cybercrime in tutti i nove paesi presi in esame. Le società statunitensi e tedesche hanno sperimentato gli incidenti relativi a violazione dei dati più costosi, con una spesa per record compromesso pari a 277 e 214 dollari rispettivamente. Brasile e India hanno sperimentato il minor costo di violazione dei dati causata da attacchi esterni, con una spesa pari rispettivamente a 71 e 46 dollari per singolo record compromesso.