Perché e come calcolare i costi di un data breach

21 Gennaio 2019 by in Cyber Risk
print
Calcolare i costi potenziali di un data breach alla nostra organizzazione serve a prendere decisioni importanti. Ecco di quali fattori tenere assolutamente conto e perché è importante fare questo esercizio di immaginazione: e se capitasse a me? *

Il Data Breach. A chi è già successo

Succede tutti i giorni: siti, server di posta di brand aziendali noti (o di partiti politici, di enti pubblici in primis sanitari) sono stati compromessi. Milioni i record di consumatori e cittadini esposti in rete. La borsa e l’opinione pubblica entrano in fibrillazione. Noi stiamo a guardare, grati che non riguardi noi e andiamo avanti. Pensiamo che l’impensabile non accada mai alla nostra azienda. Ma in un’epoca in cui così tante informazioni sensibili sono pubblicate, gestite e scambiate online, una violazione dei dati non è affatto impensabile.

Le violazioni dei dati possono essere uno dei tipi di crisi più costosi a colpire il nostro business. Fare della governance e della conformità una priorità nell’attività quotidiana e avere un’infrastruttura adeguata che supporti tutti le aree dell’attività, aiuterà ad essere preparati a questo tipo di evento, risparmiandoci perdite per milioni nel lungo periodo. Soprattutto aiuterà a conservare la fiducia dei clienti.

Margas si occupa del trasferimento assicurativo del rischio informatico. Considera la prevenzione una necessità per abbassare il rischio e assicurarsi meglio. Per questo consiglia Progetto Cyr: un percorso personalizzato di analisi e mitigazione. In particolare una serie di servizi volti a definire l’esposizione economica potenziale di un attacco informatico e di un fermo d’attività (Margas), cosìccome le eventuali vulnerabilità dell’infrastruttura ICT, del personale e reputazionali (partner). Ma andiamo a vedere più da vicino le implicazioni di un Data Breach.

Quante sono le perdite di dati?

Come conferma il Rapporto Gemalto sui Data Breach su scala mondiale nel primo semestre 2018 sono stati più di 3,3 miliardi i record compromessi e 18,5 milioni i record rubati o persi ogni giorno.

Quanto costa perdere un dato

Molte persone sottovalutano il costo di una violazione dei dati, ma gli effetti possono essere veramente devastanti. Il costo complessivo della criminalità informatica per le aziende statunitensi è stimato in 300 miliardi di dollari ogni anno.
Quando si tratta di calcolare il costo di una violazione dei singoli dati, ci sono due modelli riconosciuti: quello adottato dall’Istituto Ponemon e quello del rapporto Verizon Data Breach Investigations.

La lettura del Ponemon Institute

Il Ponemon Institute parla di un costo medio per violazione di dati negli Stati Uniti pari a $ 6.5 milioni. Si tratta $ 217 per record perso. Nel settore delle industrie regolamentate, come la Sanità, ad esempio, il costo di un record perso sarebbe di $ 398.

La lettura del Verizon Report

Il Verizon Report, invece, stima il costo per record perso a $ 0,58. Questo valore è significativamente inferiore a quello del Ponemon Institute. Infatti Verizon predilige un approccio graduato, stimando il costo di una violazione di dati come rientrante in una scala di valori a blocchi di record:
Fino a 100k di record persi, il costo sarebbe compreso tra $366 e $614; per 1 mega di record persi, tra $ 892 e $1.78 milioni; per 10 mega di record persi, il costo è compreso tra $ 2.13 e $ 5.24 milioni.

Entrambi i modelli collocano il costo diretto di una violazione nell’ordine del milione di dollari. Ma questa è solo la punta dell’iceberg.

I costi di cui non si tiene conto

Nel calcolo del costo di una violazione di dati, è necessario prendere in considerazione i danni causati da backlash dei social media e dalla copertura mediatica di lunga durata. Nell’era social il prezzo pagato per il sentiment pubblico negativo e il danno reputazionale possono ben superare quello del crimine stesso. La crisi sarà percepita da decine di centinaia di persone, dai canali digitali, in diverse aree geografiche e si conquisterà i titoli sui media sollevando un polverone (e commenti) come mai prima.
Anche quando la violazione dei dati fosse stata risolta, stabilite le responsabilità e gli eventuali addebiti, la crisi non può considerarsi chiusa. Sarà una battaglia in salita dimostrare ai nostri clienti – sfiduciati – che in futuro sapremo proteggere meglio le loro informazioni private e che potranno di nuovo fidarsi di noi. E nel frattempo la nostra azienda potrebbe perdere clienti consolidati e potenziali.
Il Ponemon Institute calcola un costo medio derivante da perdita di business (ad esempio i costi derivati dal turnover dei clienti, dal calo di fatturato e maggiori attività per acquisire nuovi clienti) di 1,57 milioni di dollari. Uno studio di Deloitte ha fatto eco a questi risultati, concludendo che il 59% dei consumatori sarebbe meno propenso ad acquistare da una società di cui sanno che ha subito una violazione.

Il Data Breach. E se capitasse a me?

Per preparare la nostra azienda e il nostro marchio ad affrontare questa evenienza, dovremo prima capire quanto vale per noi una violazione di dati – definita come la perdita di informazioni inerenti dipendenti, clienti o altre informazioni riservate – e quanto costerebbe alla nostra azienda.

Una valutazione preventiva dell’impatto totale di una violazione dei dati è fondamentale per l’allocazione a bilancio di risorse per la pianificazione della prevenzione e gestione delle crisi.
Proviamo dunque a mettere in evidenza i fattori di cui tener conto per fare una stima dei costi che dovremmo affrontare, se i dati sotto il nostro controllo finissero nelle mani sbagliate.

Data Breach 2018 per causa e tipo
Credits: Data Breach Index Half 2018

Calcolare il costo di un dato violato

Nel calcolo del costo di un data breach, bisogna tener presente due categorie di costi principali: costi a breve termine e costi a lungo termine. I primi sono i costi che insorgono effettivamente durante la violazione dei dati. I costi a lungo termine sono quelli che emergono nel corso di settimane, mesi e persino anni.
In entrambe le categorie è importante includere sia i costi diretti che quelli indiretti, quali il tempo uomo (attività extra dei dipendenti) o la futura perdita di fatturato.
L’obiettivo di questi calcoli non è quello di arrivare a determinare cifre esatte, ma piuttosto determinare valori di massima e far luce su aree di costo che forse non avevamo considerato prima. Questo esercizio permette di avere un crisis management più consapevole ed effettuare investimenti in software di sicurezza, miglioramento di processi e formazione del personale più ragionati.

Data breach: costi a breve termine diretti

La rivelazione

Quando l’azienda viene attaccata o i documenti sono stati rubati, la prima attività da fare è determinare la fonte della perdita, come essa possa essere fermata e dove si annidano le responsabilità. Determinare la causa della violazione dei dati normalmente significa coinvolgere esperti forensi, il cui costo ovunque nel mondo si aggira tra i $ 200 a $ 2.000 all’ora. Costi addizionali possono derivare dall’acquisto immediato di hardware o software per assicurarsi che non persistano ulteriori vulnerabilità.

La escalation interna

Una volta che le informazioni non sono più direttamente minacciate di compromissione, ulteriori costi deriveranno dal trasferimento delle informazioni alle persone giuste all’interno della tua organizzazione eventualmente tramite consulenza esterna.

La notifica all’esterno

Il passaggio successivo a fronte di una violazione dei dati è la comunicazione esterna. A seconda delle dimensioni della vostra azienda potrà essere necessario dotarsi di una società di PR o uno specialista in comunicazione.
Altri costi includono attività di mailing elettronico o posta tradizionale per notificare il data breach ai clienti interessati, creazione di un servizio telefonico dedicato e in outsourcing per rispondere a qualsiasi richiesta di informazioni e interventi sul sito aziendale per inserire un comunicato, le FAQ e i contatti utili.
Le spese di notifica possono variare, ma mediamente oscillno tra i $ 0.50 a $ 5,00 per ogni record.

Data Breach 2018 per settore
Credits: Data Breach Index Half 2018

Data breach: costi a breve termine indiretti

Durante una violazione di dati, è probabile che diversi team aziendali debbano lasciare le loro attività quotidiane per contribuire a mitigare gli effetti della violazione. In questo caso il tempo dei dipendenti e il ritardo che si accumula nelle attività correnti sono spesso costi significativi, ma trascurati.
L’attività normale potrebbe anche subire un fermo di diverse settimane. Particolarmente oneroso sarà il tempo che Dirigenti e Quadri dovranno dedicare alle conferenze stampa e ai media, nonché alla supervisione delle attività.
La perdita del tempo/uomo può essere monetizzata con una equazione semplice:

credits: sprinklr.com

A seconda della gravità e della causa della violazione, può rivelarsi necessario allontanare dei dipendenti dall’azienda e/o assumere in via temporanea forza di supporto, generando un aumento delle attività di reclutamento e costi di formazione, che possono essere considerevoli a seconda dell’esperienza della persona.

Data breach: i costi a lungo termine diretti

Il costo del cliente

L’azienda potrà dover

  • rimborsare i clienti per qualsiasi spesa fraudolenta effettuata a loro nome per esempio con la loro carta di credito;
  • rimborsare i costi di blocco e annullamento delle stesse carte di pagamento e quello del recupero in rete delle informazioni bancarie esposte;
  • assicurare gratuitamente un servizio di monitoraggio del credito o protezione dell’identità, che possono costare tra gli $ 8 e $ 12 al mese per vittima.

Le spese legali

Quando i dati dei clienti sono compromessi, è possibile che venga intentata un’azione legale.
Le aziende devono essere pronte ad affrontare delle denunce, tra cui quelle per negligenza, mancata protezione dei dati e violazioni di leggi in diversi stati.
Inoltre, a seconda del settore di appartenenza, la società potrebbe anche dover affrontare il pagamento sanzioni per non conformità a leggi e regolamenti (GDPR in Europa). Se la violazione dei dati è nata all’interno della tua azienda o c’è stata negligenza, potrebbe rivelarsi necessaria una ulteriore investigazione interna o un audit di terze parti il cui costo potrebbe essere riversato su di voi.

I costi reputazionali

Per preservare e ricostruire il valore del brand aziendale a seguito di data breach, la tua azienda potrebbe essere costretta ad attivare extra campagne di marketing e comunicazione.
Costi collegati a queste attività comprendono quelli per il sostegno continuativo di una agenzia di PR pubblicitaria, da spese per pubblicazione sui media (specialmente online) e l’applicazione di sconti sulla vendita di prodotti o servizi.

Data breach: i costi a lungo termine indiretti

I costi indiretti potrebbero includere una continuazione dei costi emersi durante la crisi: la perdita del tempo per impiegato e il differimento delle attività normali. Queste attività diminuiranno gradualmente in base alla gravità della crisi e alla quantità di risorse esterne prese sul mercato. Continua l’investimento in risorse per la comunicazione e l’investigazione interna per monitorare aspetti trascurati durante la crisi, come per esempio il controllo dei costi.

Un aspetto particolarmente critico nella violazione dei dati è la diminuzione del fatturato a seguito della perdita di clienti. Ciò accade in due forme: diminuzione dei clienti consolidati specialmente se interessati dal data breach e minore acquisizione di clienti nuovi.
Più i media e la stampa avranno dato eco all’evento, maggiori saranno questi numeri.
L’Istituto Ponemon ha rilevato che le aziende appartenenti a i settori critici (compresi i consulenti aziendali) sono i più suscettibili alla riduzione dei clienti e presentano tassi di calo fino al 6,1%.

Oggi la perdita di clienti attuali e futuri è particolarmente esacerbata dai social media. Le persone hanno la possibilità di condividere la loro storia e dare voce alle loro frustrazioni su una scala molto più grande di una volta. Si calcola che il sentimento negativo intorno a un marchio aumenterà del 35% durante la violazione dei dati. Inserire una strategia di social media management nel piano globale di gestione delle crisi contribuirà a mitigare questa perdita.

Broker di assicurazioni Padova | Margas

L’importanza di prevenzione e pianificazione

Le violazioni dei dati possono essere uno dei tipi di crisi più costosi a colpire il nostro business. Fare della governance e della conformità una priorità nell’attività quotidiana e avere un’infrastruttura adeguata che supporti tutti le aree dell’attività, aiuterà ad essere preparati a questo tipo di evento, risparmiandoci perdite per milioni nel lungo periodo. Soprattutto aiuterà a conservare la fiducia dei clienti.

Margas si occupa del trasferimento assicurativo del rischio informatico. Considera la prevenzione una necessità per abbassare il rischio e assicurarsi meglio. Per questo consiglia Progetto Cyr: un percorso personalizzato di analisi e mitigazione. In particolare una serie di servizi volti a definire l’esposizione economica potenziale di un attacco informatico e di un fermo d’attività (Margas), cosìccome le eventuali vulnerabilità dell’infrastruttura ICT, del personale e reputazionali (partner).

 

*Per le informazioni utili a questo post, si ringraziano Sprinklr (whitepaper 2015) e Noima

 

 

Recommend
  • Facebook
  • Twitter
  • LinkedIN
Share
Tagged in
Margas