Secondo il Cost of Data Breach Report 2019 di Ponemon Institute e IBM Security, le ultime statistiche disponibili sulle violazioni dei dati mostrano che il costo medio globale di una violazione dei dati è aumentato del 12% negli ultimi cinque anni. Mentre il costo medio di una violazione dei dati varierà a seconda dei settori e dei paesi, il modello globale generale mostra un aumento complessivo dei costi. Ciò sottolinea l’importanza di utilizzare strumenti sofisticati come il software antivirus gestito (AV), soluzioni di End Point Detection (EDR) e il software di scansione delle vulnerabilità per identificare in modo proattivo le minacce.

Questo articolo prenderà in considerazione i dati provenienti da una serie di fonti per dimostrare il potenziale alto costo di una violazione e l’urgente necessità per le aziende di adottare misure per migliorare il proprio stato generale di sicurezza. Soprattutto per i fornitori di servizi gestiti (MSP) incaricati di aiutare a tenere i clienti lontani dai pericoli, è necessario compiere un grande sforzo per evitare violazioni dei dati o affrontare costi potenzialmente devastanti. La protezione dei dati, la sicurezza dei dati e la prevenzione della violazione dei dati dovrebbero essere una parte fondamentale della politica di sicurezza delle informazioni di ogni azienda, perché l’impatto di una violazione dei dati può essere grave, a lungo termine e potenzialmente irreparabile.

Tipi di costi associati alle violazioni dei dati

Nel 2019, l’ International Association of Computer Investigative Specialists (IACIS) ha condotto uno studio chiamato “Economic Costs and Impacts of Business Data Breaches”.

È un’idea sbagliata comune che il costo principale di una violazione dei dati sia causato dall’immediato impatto monetario sui ricavi delle vendite. Questo studio IACIS ha tentato di rettificare questo malinteso affrontando il più ampio onere finanziario che minaccia le organizzazioni mirate. A tal fine, ha identificato tre tipi di costi associati a una violazione dei dati:

  • Costi diretti
  • Costi indiretti
  • Costi nascosti

Piuttosto che provocare semplicemente il caos tramite i costi diretti, è la somma totale di questi costi che può portare a un disastro finanziario così significativo in caso di violazione dei dati.

  • COSTI DIRETTI

I costi diretti si riferiscono ai processi di rilevamento e notifica della violazione dei dati. È probabile che questi costi diretti includano l’impatto immediato sui ricavi di vendita, che in genere si traducono in una riduzione del reddito. Ciò, a sua volta, influisce inevitabilmente sulla produttività aziendale complessiva e sulle attività operative. Un altro costo diretto è il probabile calo dei corsi azionari. Se sono necessari servizi legali per gestire la ricaduta del contenzioso, le aziende potrebbero anche dover pagare ingenti somme di denaro per i servizi legali. È probabile che i costi aumentino anche se le società di consulenza investigativa sono tenute a identificare la causa della violazione.

Il costo diretto finale si riferisce all’implementazione di una risposta post-violazione. Ciò potrebbe comportare la creazione di un call center di emergenza per i clienti interessati. Una società potrebbe anche dover spendere soldi per attività di pubbliche relazioni, che potrebbero includere costi di liquidazione e rimborsi finanziari alle parti interessate.

  • COSTI INDIRETTI

I costi indiretti sono generalmente attribuiti a una perdita di fiducia dei clienti, opportunità di business perse e reputazione danneggiata. È probabile che i profitti diminuiscano quando i clienti perdono la fiducia in un’attività e si rivolgono ai concorrenti. Un altro costo indiretto è la minore probabilità che gli investitori acquistino azioni della società, il che porterà a una crescita limitata e a una quota di mercato ridotta. Le aziende possono persino scoprire che i dipendenti di talento scelgono di lasciare la propria organizzazione quando la loro reputazione diminuisce.

I costi di terze parti rappresentano una grave perdita indiretta ed è probabile che includano aumenti dell’assicurazione aziendale dopo una costosa violazione. I fornitori di servizi cloud possono anche aumentare i prezzi per rafforzare la sicurezza informatica in caso di violazione, il che contribuirà anche ai costi indiretti.

  • COSTI NASCOSTI

I costi nascosti di una violazione dei dati sono molto difficili da misurare, ma il loro impatto può essere grave. Alcune aziende potrebbero persino sentire i costi nascosti di una violazione dei dati anni dopo l’evento. Ad esempio, i costi nascosti possono includere la perdita di ore lavorative quando i dipendenti deviano i loro sforzi per rispondere alla violazione, piuttosto che dedicare il loro tempo alle opportunità di guadagno.

Inoltre, i futuri investimenti in tecnologia aumenteranno probabilmente poiché la violazione impatta sulla strategia tecnologica dell’azienda mirata. È probabile che le aziende che hanno subito una violazione spendano di più per la tecnologia di sicurezza in futuro, il che potrebbe essere considerato un costo nascosto.

Il costo medio di una violazione dei dati: risultati chiave

Il rapporto 2019 sul costo della violazione dei dati di Ponemon Institute e IBM Security è ampiamente considerato come una fonte affidabile di statistiche sulle violazioni dei dati e fungerà da risorsa chiave in questo articolo.

Un risultato chiave del rapporto è stato che la perdita di affari, causata principalmente dalla fiducia dei clienti compromessa, è stata la causa principale dei costi di violazione dei dati. Il costo medio della perdita di affari è stato di $ 1,42 milioni, causando un tasso di abbandono del 3,9% tra i clienti. Negli scenari migliori, le violazioni dei dati hanno causato meno dell’1% di abbandono dei clienti, con un costo medio di $ 2,8 milioni. Negli scenari peggiori, il tasso di abbandono dei clienti potrebbe essere superiore al 4%, con un costo medio di 5,7 milioni di dollari. Questo è del 45% superiore al costo medio totale di violazione dei dati.

Il rapporto ha anche rilevato che un terzo dei costi di violazione dei dati si verifica più di un anno dopo l’incidente iniziale, secondo 86 organizzazioni intervistate in più anni: il 67% dei costi di violazione è arrivato nel primo anno, mentre il 22% nel secondo anno e l’11% è arrivato più di due anni dopo la violazione iniziale.

Le aziende in settori altamente regolamentati come l’assistenza sanitaria hanno registrato i peggiori costi a coda lunga, con costi di violazione in aumento sia nel secondo che nel terzo anno. In ambienti normativi a elevata protezione dei dati, il 53% dei costi di violazione è stato maturato nel primo anno, il 32% il secondo anno e il 16% in più di due anni dopo la violazione. È probabile che questi risultati siano guidati da nuove sanzioni normative e dall’introduzione di leggi sulla notifica di violazione (ad esempio, GDPR ).

Un altro dei risultati chiave del rapporto è stato che il ciclo di vita medio di una violazione è cresciuto tra il 2018 e il 2019. Nel 2019, il tempo medio per identificare una violazione era di 206 giorni e il tempo medio per contenere una violazione era di 73 giorni. Ciò ha totalizzato 279 giorni, con un aumento del 4,9% rispetto al ciclo di vita delle violazioni del 2018. In generale, un ciclo di vita della durata inferiore a 200 giorni è stato in media di 1,22 milioni di dollari in meno rispetto a una violazione con un ciclo di vita più lungo. Più rapidamente viene identificata e contenuta una violazione dei dati, minori sono i costi associati alla violazione. Pertanto, l’aumento del ciclo di vita della violazione è correlato a un aumento del costo medio di una violazione dei dati. 

Secondo il rapporto sul costo di una violazione dei dati, gli attacchi criminali di natura dannosa erano la causa più comune di violazioni e la più costosa. Dal 2014, il numero di violazioni causate da criminali informatici è aumentato del 21%. Le violazioni di questa natura richiedono più tempo per essere identificate e contenute, il che contribuisce anche a costi più elevati.

Sebbene le violazioni dolose fossero le più comuni, le violazioni accidentali rappresentavano ancora quasi la metà delle violazioni dei dati totali studiate nel rapporto. Istanze di errore umano, inclusi attacchi di phishing e dispositivi rubati, sono stati responsabili di circa il 25% delle violazioni studiate. La perdita media causata da errori umani in queste violazioni è stata di 3,5 milioni di dollari. Anche i problemi di sistema che non potevano essere legati all’attività umana hanno rappresentato circa il 25% delle violazioni, con una perdita media di 3,24 milioni di dollari.

È un’idea sbagliata comune che le piccole imprese abbiano meno probabilità di essere influenzate dalle violazioni dei dati. Il rapporto ha rilevato che, in proporzione, le piccole imprese hanno subito maggiori costi di violazione. Le grandi aziende con più di 25.000 dipendenti avevano un costo medio di $ 5,11 milioni in caso di violazione, mentre le aziende più piccole con tra 500 e 1.000 dipendenti avevano un costo medio di $ 2,65 milioni. Ciò significa che mentre le grandi aziende hanno visto un costo totale maggiore, il costo approssimativo per dipendente era di soli $ 204, rispetto alle perdite delle piccole aziende di $ 3.533 per dipendente. In altre parole, le piccole imprese sono colpite più di dieci volte più duramente delle aziende più grandi, il che può avere un impatto irreparabile sui loro ricavi.

Proteggi il tuo MSP e i tuoi clienti

Come ha dimostrato questo articolo, il costo delle violazioni dei dati è aumentato negli ultimi anni e il 2020 non fa eccezione. Tenendo conto dei costi diretti, indiretti e nascosti, le aziende devono adottare le misure appropriate per salvaguardare i propri dati. Per gli MSP, proteggere i dati dei clienti è importante quanto proteggere i propri dati. Infatti, la reputazione di un MSP può subire danni significativi anche se un cliente subisce una violazione dei dati che non è in alcun modo colpa dell’MSP. Per questo motivo, è importante che gli MSP lavorino in modo proattivo con i clienti per renderli consapevoli di eventuali problemi. Per raggiungere questo livello di conoscenza, avrai bisogno di accedere agli strumenti giusti.

SolarWinds ® RMM è uno strumento intuitivo e sofisticato progettato per aiutarti a proteggere, mantenere e migliorare in modo efficiente i sistemi IT dei tuoi clienti. Questa soluzione centralizzata offre una suite completa di utilità, il tutto da un’unica dashboard. Questa dashboard evidenzia i problemi, aiutando i tuoi tecnici a concentrare la loro attenzione dove è più necessario.

SolarWinds RMM include modelli di monitoraggio pronti all’uso, accesso remoto veloce e sicuro, gestione delle patch, protezione web, intelligence sui rischi di violazione dei dati e funzionalità di backup. Questa soluzione all-in-one funge anche da software antivirus gestito e software di scansione delle vulnerabilità, rendendola un’opzione versatile per gli MSP che desiderano una sicurezza ottimale e stratificata contro le violazioni dei dati. Per gli MSP che desiderano aiutare i propri clienti a evitare violazioni dei dati potenzialmente debilitanti, è disponibile una prova gratuita di 30 giorni di SolarWinds RMM. 

FONTE: SolarWinds MSP BLOG

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato SolarWinds MSP