Security managementSicurezza

IBM e Ponemon Institute, le violazioni dei dati oggi costano meno

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

In calo del 10 percento il costo medio per danni, implicazioni ed effetti delle violazioni dei dati sulle aziende. Mentre negli Usa continua a salire, in Europa scende del 26 percento. Effetto GDPR?

IBM Security ha commissionato uno studio a livello globale sul costo delle violazioni dei dati a Ponemon Institute. Lo studio è stato condotto in 13 Paesi sulla base di interviste a 400 aziende e tiene presenti o costi associati alle attività di risposta alle violazioni, i danni di immagine e quindi anche il prezzo pagato per il mancato business. IBM Security rende inoltre disponibili i report Paese per Paese. Per l’Italia hanno risposto 25 realtà. 

Il primo dato saliente evidenzia che il costo medio di una violazione è di circa 3,6 milioni di dollari. Un equivalente di circa 141 dollari per ogni record di dati perso o rubato. E comunque un dato confortante perché in netto calo (del 10 percento) rispetto ai risultati del 2016. Non solo, se Ponemon Institute registra il primo calo in tutti questi anni, emerge come addirittura in Europa si sia registrato un calo addirittura del 26 percento del costo totale di una violazione dati rispetto all’anno precedente.

E per IBM Security la correlazione tra i requisiti normativi in Europa rispetto ad altre aree geografiche sarebbe molto stretta.
Lo studio è importante soprattutto per questo: perché correla e valorizza la tutela dei dati a una regolamentazione uniformevirtuosae rispetto alla frammentazione delle regole, tipica di 48 su 50 Stati americani che hanno proprie leggi in materia.

In verità per capire bene le correlazioni è utile sfogliare il rapporto 2017 Cost of Data Breach Study.  Lì emerge come: vizi di conformità e fretta di informare sarebbero tra i primi cinque motivi per cui il costo della violazione dei dati è aumentato negli Usa. Come è altresì vero che le mancate conformità costano alle aziende Usa il 48 percento in più rispetto alle aziende UE e la fretta di informare circa il 50 percento in più, con una spesa di notifica per violazione di circa 690mila dollari, più del doppio rispetto a qualsiasi altro Paese considerato nel rapporto.

Ponemon Institute e IBM Security Costo Data Breach di anno in anno
Ponemon Institute e IBM Security  – Data Breach Per Capita Cost  (rapporto tra il costo totale di un Data Breach e il numero di record compromessi)

La nostra riflessione è quindi meno che ottimistica. Il costo per violazione dei dati in calo in Europa è da correlare anche alla diversa maturità dei regolamenti. Per cui sarà ben prudente attendere il report IBM Security addirittura del 2019, quando il GDPR avrà prodotto i suoi effetti sanzionatori da circa un anno in UE. I risultati Usa infatti sembrano da correlare in verità a un “avanzato” processo di gestione delle violazioni, per cui è norma consolidata l’informazione – forse fin troppo tempestiva – agli interessati, laddove in Europa sappiamo bene di abitudini ad oggi ancora molto poco indagate. Confermiamo invece l’idea per cui un regolamento uniforme abilita la possibilità di meglio organizzare i processi di business anche transnazionali, con i relativi risparmi. 

IBM Security sottolinea come la velocità con cui una violazione può essere identificata e arginata sia legata al costo che tale violazione poi avrà e alla disponibilità o meno di un team dedicato agli eventi (Incident/Response) con relativo piano formale di risposta agli incidenti.

Chiaro che il GDPR che identifica determinate figure in azienda deputate a questi scopi possa direttamente e indirettamente fare in modo che di fronte a una violazione sia possibile mitigare le possibili perdite. Le organizzazioni, che fino ad oggi hanno impiegato in media oltre sei mesi a identificare le violazioni, e circa due mesi poi per contenerle, dovranno correre ai ripari e hanno meno di un anno di tempo prima di collezionare sanzioni salatissime.

Le violazioni più costose, secondo il rapporto, sono state quelle in ambito sanitario, in cui la violazione per ogni record sale di costo fino a 380 dollari per record (oltre 2,5 volte la media degli altri ambiti). E’ interessante però anche la valutazione secondo cui tra i fattori principali che incidono sul costo di una violazione c’è il ricorso alla gestione dei dati da parte di terze parti. Nell’era cloud, la posizione di sicurezza di ogni specifico fornitore esterno di servizi sui dati potrebbe influire in modo significativo sui costi complessivi.

Al contrario a ridurre i costi delle violazioni contribuiscono la formazione del personale, la crittografia e – appunto – la disponibilità di un team dedicato che conosca le procedure e sia in grado di declinare in pratica i programmi di business continuity, in pratica la resilienza sarà strategica. I processi di disaster recovery manuali hanno un costo medio giornaliero molto più elevato (6mila dollari dollar) rispetto a chi dispone di processi di disaster recovery automatizzati (costo di circa 4mila dollari al giorno).

WHITE PAPER: Sei interessato ad approfondire l’argomento?  Scarica il whitepaper: “Identifica il valore, i rischi e i costi dei tuoi dati