Milano - 27 mag 2015: Nella giornata di oggi, il Ponemon Institute ha pubblicato il suo rapporto annuale Cost of Data Breach Study: Global Analysis, sponsorizzato da IBM. Secondo lo studio, che ha confrontato 350 aziende distribuite in 11 paesi, il costo medio totale consolidato a seguito di violazioni dei dati è pari a 3,8 milioni di dollari[1], che rappresenta un incremento del 23 per cento a partire dal 2013. Lo studio ha anche rilevato che il costo medio sostenuto per ogni record perso o sottratto, contenente informazioni sensibili e riservate, è aumentato del sei per cento, passando da una media consolidata di 145 dollari a 154 dollari. Il settore della sanità è risultato quello con il più alto costo per record sottratto e il costo medio per le organizzazioni ha raggiunto addirittura i 363 dollari. Anche i rivenditori hanno visto il loro costo medio per record sottratto salire esponenzialmente, dai 105 dollari dello scorso anno ai 165 dollari rilevati nello studio di quest'anno.

“Grazie alla nostra ricerca , abbiamo identificato tre principali motivi per cui il costo continua ad aumentare”, ha dichiarato il dottor Larry Ponemon, presidente e fondatore del Ponemon Institute. “In primo luogo, gli attacchi informatici sono in aumento sia come frequenza che come costo delle misure necessarie per risolvere i problemi di sicurezza che essi creano. In secondo luogo, le conseguenze finanziarie della perdita di clienti a seguito di una violazione stanno avendo un impatto sempre più elevato sui costi. In terzo luogo, sempre più aziende si trovano a sostenere costi più elevati in attività legali e investigative, valutazioni e gestione dei team di crisi.”

La metodologia di ricerca del Cost of Data Breach

Il primo studio Cost of Data Breach è stato condotto 10 anni fa negli Stati Uniti. Da allora, la ricerca si è estesa a 11 paesi. La ricerca Cost of Data Breach del Ponemon Institute si basa su dati reali di centinaia di categorie di costi, diretti e indiretti, raccolti a livello aziendale utilizzando metodi di ricerca sul campo e un quadro di riferimento di activity-based costing. Questo approccio è stato convalidato dall'analisi di oltre 1.600 aziende che hanno subito una violazione sostanziale dei dati nel corso degli ultimi 10 anni in 11 paesi.

La ricerca del 2015 ha comportato la raccolta di informazioni dettagliate sulle conseguenze finanziarie di una violazione dei dati. Ai fini di questa ricerca, una violazione dei dati si verifica quando dati sensibili, protetti o riservati vengono smarriti o sottratti e messi in pericolo. In un periodo di 10 mesi, i ricercatori del Ponemon Institute hanno condotto oltre 1.500 interviste con professionisti esperti di IT, di compliance e di sicurezza delle informazioni, in rappresentanza di 350 organizzazioni nei seguenti 11 paesi: Stati Uniti, Regno Unito, Germania, Australia, Francia, Brasile, Giappone, Italia, India, Penisola Arabica (un insieme di organizzazioni negli Emirati Arabi Uniti e in Arabia Saudita) e, per la prima volta, Canada.

Sono stati rilevati i seguenti elementi fondamentali:

• Il coinvolgimento a livello di Consiglio di Amministrazione e la stipula di un’assicurazione possono ridurre il costo di una violazione dei dati. Per la prima volta, abbiamo osservato le conseguenze positive che possono derivare nel caso in cui i consigli di amministrazione assumano un ruolo più attivo quando un'organizzazione subisce una violazione dei dati. Questo coinvolgimento riduce il costo di 5,50 dollari per record. La copertura assicurativa riduce il costo di 4,40 dollari per record.
• La gestione della continuità aziendale svolge un ruolo importante nella riduzione del costo conseguente a violazione dei dati. La ricerca rivela che, se la gestione della continuità operativa è coinvolta nella risoluzione della violazione, il costo si può ridurre in media di 7,10 dollari per record compromesso.
• Le violazioni più onerose continuano a verificarsi negli Stati Uniti e in Germania, che si attestano rispettivamente a 217 dollari e 211 dollari per record compromesso. India e Brasile invece presentano ancora le violazioni meno onerose, rispettivamente con 56 dollari e 78 dollari.
• Il costo della violazione dei dati varia a seconda del settore. Il costo medio globale della violazione di dati per ogni record perso o sottratto è pari a 154 dollari. Tuttavia, se un’organizzazione del settore sanitario subisce una violazione, il costo medio può arrivare a 363 dollari, mentre nel settore dell’istruzione il costo medio può raggiungere i 300 dollari. Il costo più basso per ogni record perso o sottratto si riscontra nel settore dei trasporti (121 dollari) e nel settore pubblico (68 dollari).
• Sono gli hacker e i criminal insider a causare il maggior numero di violazioni dei dati. Il quarantasette per cento di tutte le violazioni rilevate nello studio di quest'anno è stato causato da attacchi maligni o dolosi. Il costo medio per record per rimediare a questo tipo di attacchi è pari a 170 dollari. Per contro, i difetti dei sistemi costano in media 142 dollari per record e gli errori o le negligenze umane costano in media 137 dollari per record. Gli Stati Uniti e la Germania sono i paesi che spendono di più per risolvere attacchi maligni o dolosi (rispettivamente 230 e 224 dollari per record).
• I costi di notifica restano bassi, ma i costi associati alla perdita di business aumentano costantemente. I costi legati a perdita di opportunità di business sono determinati da eccessivo turnover di clienti, aumento delle attività di acquisizione di nuovi clienti, perdite di immagine e ridotta considerazione favorevole. Il costo medio è aumentato da 1,23 milioni di dollari nel 2013 a 1,57 milioni di dollari nel 2015. I costi di notifica sono diminuiti da 190.000 a 170.000 dollari dallo scorso anno.
• Il tempo necessario ad individuare e limitare una violazione dei dati ha influenza sul costo. Per la prima volta, il nostro studio mostra la relazione tra la velocità con cui un’organizzazione è in grado di identificare e contenere gli incidenti di violazione dei dati e le relative conseguenze finanziarie. Gli attacchi maligni possono richiedere una media di 256 giorni per essere individuati, mentre le violazioni dei dati causate da errori umani richiedono in media 158 giorni per la loro identificazione. Come già evidenziato in precedenza, gli attacchi maligni o dolosi costituiscono le violazioni dei dati più costose da risolvere.

“La crescente sofisticazione e capacità di collaborazione dei cybercriminali è direttamente collegata ai costi storici che riscontriamo per le violazioni di dati”, ha dichiarato Marc van Zadelhoff, Vice President of Strategy di IBM Security. “Il settore deve organizzarsi allo stesso livello degli hacker per potersi difendere da questi attacchi continui. L'utilizzo di strumenti di analisi avanzata, la condivisione di dati di intelligence sulle minacce e la collaborazione in tutto il settore possono contribuire a rendere più equilibrato lo scontro con gli aggressori, aiutando nel contempo a mitigare i costi per le imprese e per la società.”

Come prevedere la probabilità di una violazione dei dati

Per il secondo anno consecutivo, la ricerca esamina la probabilità di una società di subire una o più violazioni dei dati nei prossimi 24 mesi. Sulla base delle esperienze delle aziende che hanno partecipato a questa ricerca, la probabilità si basa su due fattori: il numero di record persi o sottratti e il settore di appartenenza della società. Secondo i risultati, le aziende brasiliane e francesi hanno maggiori probabilità di subire una violazione dei dati che coinvolga un minimo di 10.000 record. Per contro, le organizzazioni in Germania e in Canada presentano meno probabilità di subire una violazione. In ogni caso, è più probabile che una società subisca una violazione che coinvolge un numero di record minore o uguale a 10.000 rispetto ad una violazione di vaste dimensioni che coinvolga più di 100.000 record.

Per scaricare il testo completo del rapporto, si prega di utilizzare il seguente link: www.ibm.com/security/data-breach

[1] Le valute locali sono state convertite in dollari americani ai fini della comparazione.

Informazioni sul Ponemon Institute
Il Ponemon Institute svolge attività di ricerca e formazione indipendenti finalizzate a promuovere la sicurezza delle informazioni, la protezione dei dati, la privacy e le pratiche di gestione responsabile delle informazioni presso aziende ed enti pubblici in ​​tutto il mondo. La nostra missione è quella di condurre studi empirici di elevata qualità sulle questioni critiche che riguardano la tutela delle informazioni e dell'infrastruttura IT. In qualità di membro del Council of American Survey Research Organizations (CASRO), l’istituto supporta standard rigorosi in tema di riservatezza dei dati, privacy e ricerca etica. www.ponemon.org.

Informazioni su IBM
IBM gestisce una delle maggiori organizzazioni mondiali di ricerca, sviluppo e delivery relativamente alla sicurezza. IBM monitora 15 miliardi di eventi di sicurezza al giorno in più di 130 paesi e detiene più di 3.000 brevetti relativi alla sicurezza. Per ulteriori informazioni sulla sicurezza IBM, visitate il sito: www.ibm.com/security.

IBM Resiliency Services ha più di 50 anni di esperienza di business continuity e disaster recovery, con 312 centri di resiliency in 68 paesi. Per ulteriori informazioni su IBM Resiliency Services, visitate il sito: www.ibm.com/services/continuity