Fino a due milioni di euro. Tanto è costata alle imprese italiane la violazione dei dati in termini di business secondo il 2011 Cost of Data Breach Study, l’indagine condotta da Ponemon per conto di Symantec.
Nel dettaglio le violazioni dei dati è costata in media alle aziende italiane 474.793 euro nel 2011 – dovuti principalmente al maggior turnover dei clienti, (fino al 3,5% e superiore alla perdita media di clienti del settore) al diminuire delle opportunità di acquisizione di nuovi clienti e alla perdita di credibilità – con un picco massimo di 2.570. 622, mentre il costo di ciascun record perso o rubato è stato di 78 euro, cifra che dipende da quanto l’azienda ha speso per rimediare alla violazione. Di questi 78 euro, una larga parte (35%) riguarda la perdita di business, mentre il resto è speso in indagini e notifiche alle vittime della violazione. I primi tre settori più colpiti sono il tecnologico, seguito dal finanziario e al terzo posto da quello farmaceutico.
Il report ha evidenziato una forte correlazione tra la portata dell’incidente e i costi totali derivanti, con un range che varia da 211.733 euro a 4.010.407 euro. In particolare, perdita di business e dei clienti rappresentano le voci più significative dei costi, comportando un grave danno per le aziende, mentre la causa principale della violazione risulta essere la negligenza e gli attacchi criminali sono causati prevalentemente dai criminal insider.
Le attività di notifica, ovvero le misure adottate per segnalare la violazione di informazioni protette alle vittime della violazione, includono attività IT quali la creazione di un database dei contatti, il coinvolgimento di esperti esterni, le spese postali e le comunicazioni in entrata. Il costo medio, nel 2011, per le aziende italiane è stato di 57.500 euro.
I costi di scoperta ed escalation, in media 458.864 euro nel 2011, sono quelli che una azienda deve affrontare per rilevare una violazione quando si verifica e informarne il personale competente entro uno specifico lasso di tempo. Questi costi generalmente includono le attività legali ed investigative, i servizi di valutazione e verifica, la gestione delle crisi e la comunicazione al management e al board dei dirigenti.
Il 39% delle aziende italiane intervistate sostiene che la causa principale della violazione dei dati è la negligenza, a seguire il 33% indica i difetti del sistema, inclusi gli errori nei processi di business e IT; infine, per il 28% la violazione è dovuta ad un attacco criminale o malevolo. Per questo motivo, le aziende devono focalizzarsi sulle tecnologie, le policy e i processi in grado di affrontare le minacce provenienti dal dipendente negligente, dal malicious insider o dall’hacker.
Il 60% delle aziende che ha subito 2 o più attacchi, sostiene che sono stati causati dai criminal insider mentre il 40% ha evidenziato che gli attacchi provenivano da agenti elettronici quali virus, malware, worm a trojan.
