Errori umani e problemi di sistema. Sono queste le cause che nel 2012 hanno determinato i due terzi delle violazione dei dati nel 2012 portando la media globale dei costi a 136 dollari per record. La fotografia è scattata da Symantec e Ponemon Institute nel 2013 Cost of Data Breach Study: Global Analysis, secondo cui questi problemi includono la cattiva gestione dei dati da parte dei dipendenti, mancanza di controlli del sistema e violazioni delle normative di settore e dei governi. I settori fortemente regolamentati tra cui il sanitario, il finanziario e il farmaceutico hanno sostenuto dei costi per la violazione dei dati del 70% più alti rispetto agli altri settori.
“Mentre gli attaccanti esterni e i loro metodi in evoluzione rappresentano una grave minaccia per le aziende, i pericoli associati alle minacce interne possono essere altrettanto distruttivi e insidiosi – spiegao Larry Ponemon, chairman di Ponemon Institute – Otto anni di ricerca sui costi delle violazioni dei dati hanno mostrato come il comportamento dei dipendenti sia oggi uno dei problemi più pressanti per le aziende, il 22% in più rispetto alla prima ricerca.”
Il costo globale per singolo record compromesso di un cliente è aumentato rispetto all’anno precedente, e negli Stati Uniti il costo totale per violazione dei dati è sceso leggermente a 5,4 milioni di dollari. La diminuzione è stata attribuita alla nomina dei Chief Information Security Officers (Ciso), con responsabilità a livello aziendale, sui piani di risposta agli incidenti e sui programmi di sicurezza globale.
“Considerando che le aziende molto forti in sicurezza e con piani di risposta agli incidenti hanno il 20% in meno dei costi per la violazione dei dati rispetto ad altri, l’importanza di un approccio olistico e ben coordinato è molto chiara – sottolinea Anil Chakravarthy, executive vice president of the Information Security Group di Symantec – Le aziende devono proteggere le informazioni sensibili dei loro clienti ovunque esse siano, su un pc, un dispositivo mobile, una rete aziendale o un data center.”
Entrando nel dettaglio, lo studio rileva che il costo medio per la violazione dei dati varia ampiamente in tutto il mondo. Molte di queste differenze sono dovute ai tipi di minacce che le organizzazioni devono affrontare, così come le leggi di protezione dei dati presenti nei rispettivi Paesi. Alcuni Paesi, come la Germania, l’Australia, il Regno Unito e gli Stati Uniti, hanno leggi più consolidate a tutela dei consumatori e normative per rafforzare la riservatezza dei dati e la sicurezza informatica. Gli Stati Uniti e la Germania continuano a registrare le violazioni dei dati più costose (rispettivamente 188 dollari e 199 dollari per ogni record compromesso). Questi due Paesi hanno avuto il più alto costo totale per violazione dei dati (Stati Uniti con 5,4 milioni dollari e la Germania con 4,8 milioni di dollari).
Nello studio globale, gli errori umani e i problemi di sistema rappresentano insieme il 64% delle violazioni dei dati, mentre una ricerca precedente mostra che il 62% dei dipendenti pensa che sia accettabile trasferire i dati aziendali al di fuori dell’azienda e la maggioranza non cancella mai i dati, rendendoli vulnerabili a fughe di dati. Questo dimostra come in larga parte le persone interne all’azienda contribuiscono alle violazioni dei dati e quanto possa essere costosa per le aziende la perdita dei dati. Le aziende brasiliane sono quelle che hanno sperimentato più di tutte le violazioni causate da errori umani. Le aziende in India sono quelle che hanno sperimentato più di tutte le violazioni causate da un guasto di sistema o dal fallimento dei processi di business. I guasti di sistema includono gli errori delle applicazioni, eliminazione involontaria dei dati, errori nel trasferimento dei dati, fallimenti nelle operazioni di identità o autenticazione (accesso illecito), errori di recupero di dati e altro ancora.
Risultati consolidati mostrano che gli attacchi malevoli o criminali causano il 37% delle violazioni dei dati e rappresentano gli incidenti più costosi in tutti i nove Paesi esaminati. Le aziende negli Stati Uniti e in Germania hanno subito i più costosi incidenti di violazione dei dati causati da attacchi malevoli o criminali con un costo rispettivamente di 277 dollari e di 214 dollari per record compromesso, mentre Brasile e India hanno registrato i costi più bassi, rispettivamente 71 dollari e 46 dollari per record compromesso. Le aziende tedesche sono quelle con maggiori probabilità di sperimentare un attacco malevolo o criminale, seguite da Australia e Giappone.
Ci sono però alcuni fattori organizzativi che possono diminuire i costi. Le aziende statunitensi e inglesi, ad esempio, hanno registrato la maggior diminuzione dei costi di violazione dei dati grazie ad una solida posizione di sicurezza, la presenza di un piano di risposta agli incidenti e la nomina di un Ciso. Gli Stati Uniti e la Francia hanno ridotto i costi grazie al coinvolgimento di un consulente esperto in data breach remediation.
