Prospettive

Qual è il costo medio di un data breach per le aziende?

Il costo medio di un data breach per un’azienda è valutato in 3,92 milioni di dollari che può arrivare a 5,16 milioni se non sono state adottate soluzioni e tecnologie di automazione della security. È quanto emerge dallo studio Cost of a Data Breach realizzato da Ponemon Institute con la sponsorship di IBM Security del quale riassumiamo le principali evidenze

Pubblicato il 16 Set 2019

2019 Cost of a Data Breach Report

3,92 milioni di dollari. È il costo medio di un data breach, un costo che risulta essere particolarmente grave per piccole e medie imprese per le quali il dato medio è di 2,5 milioni di dollari. 25.575 è il numero dei record che in media vengono coinvolti in un data breach, il cui costo è stato calcolato in 150 dollari per record, e 279 giorni il tempo medio per identificare e contenere una violazione. La Sanità il settore più colpito.

Sono i dati principali che emergono dalla 14ma edizione del report Cost of a Data Breach realizzato da Ponemon Institute con la sponsorship di IBM Security, pubblicato lo scorso luglio.

costo data breach 1
Figura 1 – Costo medio totale di un data breach. Andamento 2014-2019. Fonte: Cost of a Data Breach, 2019, Ponemon Institute e IBM Security

“Il tempo medio di rilevazione di una intrusione resta troppo alto, a livelli inaccettabili”, ha detto Alessio Pennasilico, Information & Cyber Security Advisor di P4I, commentando lo studio. “Il valore delle informazioni – ha aggiunto – si dimostra sempre di più tangibile e un asset tanto per le organizzazioni quanto per i criminali. Per questa ragione assistiamo alla costante crescita in quantità e qualità di incidenti, con i costi afferenti, nel mondo della sanità e per la stessa ragione costi apparentemente ‘irrisori’ come 150 dollari a record, se moltiplicati per il numero medio di record di qualsiasi base di dati di qualsiasi organizzazione è un costo insostenibile in molti casi, specialmente per una PMI”.

Comparando il costo medio di un data breach con il numero dei dipendenti si evince che l’impatto su una PMI può essere devastante: se il costo totale per le organizzazioni più grandi (oltre 25.000 dipendenti) è stato in media di 5,11 milioni di dollari, quindi 204 dollari per dipendente, per le realtà più piccole (tra i 500 e i 1.000) dipendenti, a fronte di un costo medio di 2,65 milioni di dollari, il costo medio per dipendente è di 3.533 dollari.

costo data breach 2
Figura 2 – Costo medio totale di un data breach in base alla dimensione aziendale. Fonte: Cost of a Data Breach, 2019, Ponemon Institute e IBM Security

Un altro dato che lo studio evidenzia è che le aziende che sono state in grado di rilevare e contenere una violazione in meno di 200 giorni hanno speso 1,2 milioni di dollari in meno rispetto al costo totale medio di una violazione: “Una cifra importante che, per l’ennesima volta, dimostra come chi attui la strategia ‘sono certo che avverrà un incidente e lavoro per minimizzarne frequenza e impatto’ ottenga reali e concreti benefici economici dagli investimenti tecnologici e organizzativi fatti”, ha sottolineato Pennasilico.

E per la prima volta, quest’anno il Report descrive in dettaglio la “coda lunga” di una violazione dei dati, dimostrando che i suoi costi possono essere avvertiti per anni dopo l’incidente: circa il 67% dei costi viene registrato entro il primo anno, il 22% nel secondo e un altro 11% si estende oltre i due anni dalla violazione; costi che sono risultati più elevati nel secondo e terzo anno per le aziende operanti in ambienti altamente regolamentati, come la sanità, i servizi finanziari, l’energia e l’industria farmaceutica.

costo data breach 3
Figura 3 – Costo medio totale di un data breach per settore. Fonte: Cost of a Data Breach, 2019, Ponemon Institute e IBM Security

Come calcolare il costo di una violazione

Per realizzare il Report 2019 sono state coinvolte 507 organizzazioni a livello worldwide che hanno subito una violazione e sono state intervistate 3.211 persone utilizzando la metodologia ABC (Activity Based Costing). Le violazioni studiate si sono verificate tra luglio 2018 e aprile 2019 e le interviste sono state condotte tra ottobre 2018 e aprile 2019.

Le attività oggetto di analisi sono suddivise in 4 centri di costo sulla base dei processi che ad esse fanno riferimento e che riassumiamo rapidamente:

  • Rilevamento ed escalation – Attività che consentono a un’azienda di rilevare e segnalare una violazione al personale appropriato entro un periodo di tempo specificato (attività forensi e investigative, servizi di valutazione e audit, gestione del team di crisi, comunicazioni al management esecutivo e al CdA).
  • Notifica – Attività che consentono all’azienda di notificare ai soggetti che hanno subito una violazione dei dati (persone interessate) e attività legate alla comunicazione agli enti regolatori (e-mail, lettere, telefonate in uscita o avviso generale agli interessati che le loro informazioni personali sono state perse o rubate; comunicazione con i regolatori; determinazione di tutti i requisiti normativi, impegno di esperti esterni).
  • Attività successive alla violazione – Processi avviati per aiutare le persone o i clienti interessati dalla violazione a comunicare con la società, nonché i costi associati alle attività di riparazione con i soggetti interessati e comunicazioni con le autorità di regolamentazione (attività di help desk / comunicazioni in entrata, monitoraggio dei rapporti di credito e servizi di protezione dell’identità, emissione di nuovi account o carte di credito, spese legali, sconti sul prodotto, multe).
  • Perdita di business – Attività associate al costo delle attività perse, tra cui fatturato del cliente, interruzione dell’attività e tempi di inattività del sistema (costi che possono essere sia diretti, perdita di clienti, sia indiretti, come impatti negativi sulla reputazione).

Come si vede dalla figura 4, i costi derivanti da perdita di business rappresentano ben il 36% dei costi totali; questa rappresenta il costo maggiore ininterrottamente dal 2015 al 2019 anche se la sua percentuale sul totale è leggermente diminuita

costo data breach 4
Figura 4 – Incidenza di un data breach in base alle tipologie di costo. Fonte: Cost of a Data Breach, 2019, Ponemon Institute e IBM Security

Le cause principali di un data breach

Per comprendere a pieno i risultati dello studio è bene ricordare cosa intendono i ricercatori con “violazione dei dati” e “record compromesso”. La violazione dei dati è un evento in cui il nome di una persona, una cartella clinica, una cartella finanziaria, una carta di debito ecc. sono potenzialmente messi a rischio, in formato elettronico che cartaceo. Viene definito record compromesso una informazione che identifica la persona fisica le cui informazioni sono state perse o rubate in un data breach.

Lo studio identifica tre cause principali di violazione: attacco dannoso o criminale, anomalia del sistema, errore umano.

costo data breach 5
Figura 5 – Cause di un data breach. Fonte: Cost of a Data Breach, 2019, Ponemon Institute e IBM Security

Il Report rileva che le violazioni derivanti da un attacco informatico malevolo non solo sono le più comuni, ma risultano anche le più costose. Dal 2014, le violazioni causate da attacchi informatici sono aumentate del 21%, passando dal rappresentare il 42% delle cause di data breach nel 2014 al 51% nel 2019. Inoltre, in questi casi il tempo per identificare e contenere la violazione è risultato di 314 giorni, ancora maggiore del già preoccupante dato medio di 279 giorni. Ed è anche proprio questo maggiore tempo necessario che aiuta a spiegare perché in le violazioni causate da un attacco malevolo risultano del 27% più costose di quelle causate da errori umani (4,45 milioni di dollari contro 3,5) e del 37% più costose di una violazione causata da problemi del sistema (quest’ultima in media determina costi per 3,24 milioni).

Fattori che influenzano il costo di un data breach…nel bene e nel male

I ricercatori hanno preso in considerazione 26 fattori che hanno un’influenza, negativa o positiva, sulla dimensione dei costi di un data breach introducendo 4 nuove dimensioni rispetto alle precedenti analisi: test approfonditi del piano di risposta agli incidenti, adozione di un approccio DevSecOps, infrastruttura OT e complessità del sistema.

Come si vede dalla figura 6, ai due estremi della scala ci sono la formazione, e quindi la competenza, del team di risposta agli incidenti e il verificarsi di un data breach presso una terza parte.

costo data breach 6
Figura 6 – Fattori che incidono negativamente o positivamente sul costo di un data breach. Fonte: Cost of a Data Breach, 2019, Ponemon Institute e IBM Security

La capacità di un’organizzazione di rispondere efficacemente a un data breach viene rafforzata dalla presenza di un team di incident respons (IR) dedicato; i ricercatori hanno rilevato che i risparmi sono stati amplificati nei casi in cui sono stati condotti test approfonditi dei piani di IR: 1,23 milioni è il risparmio conteggiato per queste realtà in confronto a chi non aveva un team di risposta agli incidenti o non aveva testato il proprio IR.

Particolare attenzione, per quanto riguarda gli impatti negativi, è da rivolgere alle terze parti perché, nel caso il data breach sia causato da una terza parte, il costo aumenta di ben 370.000 dollari.

Come si può facilmente intuire, l’azienda estesa e che ha fatto proprio l’approccio Industria 4.0 ha un importante impatto, negativo, sulla dimensione dei costi correlati a un data breach, tra le voci più significative vediamo infatti una importante migrazione al cloud (+ 300.000), il coinvolgimento dell’infrastruttura OT (+ 260.000), l’utilizzo diffuso delle piattaforme mobile (+ 240.000). Importante è anche l’impatto della complessità del sistema (+ 290.000).

La considerazione che ne consegue è che, a fronte di un’evoluzione del modello di business e dell’infrastruttura tecnologica dell’azienda per rispondere in modo efficace a mercati in profonda trasformazione, l’approccio alla security non può rimanere quello di qualche anno fa.

Lo dimostra l’analisi dei fattori che mitigano i costi di un data breach.

L’uso esteso della crittografia, la prevenzione della perdita di dati, la condivisione delle informazioni sulle minacce e l’integrazione della sicurezza nel processo di sviluppo del software (DevSecOps) sono stati tutti associati a costi di violazione dei dati inferiori alla media. Tra questi, la crittografia ha avuto il maggiore impatto, insieme alla presenza e competenza del team IR, contribuendo a ridurre i costi di 360.000 in media.

Particolare impatto, positivo, ha poi l’adozione di soluzioni basate sulle tecnologie più innovative: le organizzazioni che hanno implementato soluzioni di sicurezza automatizzate che riducono la necessità di un intervento umano diretto, basate su intelligenza artificiale, apprendimento automatico, analisi e orchestrazione automatizzata della risposta agli incidenti, hanno riscontrato costi significativamente inferiori. Le organizzazioni che non hanno implementato soluzioni di questo tipo hanno visto lievitare i costi di un data breach fino al 95% rispetto a chi le ha adottate (5,16 milioni di dollari contro 2,65 milioni).

costo data breach 7
Figura 7 – Costo di un data breach per paese. Fonte: Cost of a Data Breach, 2019, Ponemon Institute e IBM Security

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4