Maria Luisa Romiti
L’ Italia risulta essere tra gli stati con il minor numero di registrazioni – informazioni personali o aziendali – compromessi ma, nonostante si posizioni all’ottavo posto con una media di 18.285 record violati, nel 2012 si è verificato un aumento del 3 per cento rispetto al 2011. Questi sono alcuni dei dati emersi dal Symantec 2013 Cost of Data Breach Study, uno studio annuale (gennaio-dicembre 2012) condotto dal Ponemon Institute relativo ai costi derivanti dalla violazione dei dati subiti dalle aziende: a livello italiano ha visto il coinvolgimento di professionisti IT ed esperti di sicurezza e compliance di aziende operanti in diversi settori dell’industria. Dall’indagine risulta che, rispetto al 2011, il costo della violazione dei dati per le aziende italiane è aumentato del 19%, passando da 71 a 95 euro per record rubato, dei quali il 35% deriva dalla perdita di business e il 36 per cento riguarda le spese di rilevamento ed escalation – solitamente attività legali e di indagine, servizi di valutazione e audit, gestione di crisi e comunicazione al management e al consiglio di amministrazione – che hanno segnato un incremento del 35,6 per cento. “La percentuale di cyber attacchi è alta (32%), ma non è quella preponderante perché intervengono altri fattori, quali l’errore umano – nel 36% dei casi la causa principale della perdita dei dati è dovuta alla negligenza dei dipendenti – e l’infrastruttura, elemento su cui si può agire fortemente”, afferma Marco Riboli, Vice President e General Manager, Symantec EMEA Southern Region, “Le aziende devono continuare ad aggiornarsi ed essere in grado, nel momento in cui le informazioni dovessero essere sottratte, di capire quali sono e chi o a che cosa si riferiscono nonché mettere in atto dei rimedi in tempi brevissimi. Dalla ricerca si evince che i costi di notifica, ovvero le misure adottate per segnalare la violazione di informazioni protette alle ‘vittime’, rappresentano la voce minore nella media dei costi derivanti da una violazione dei dati (il 29% sui 95 euro per record compromesso): l’obiettivo deve quindi essere quello di strutturarsi per comunicare nel giusto modo l’avvenuto attacco, evitando così il danno di immagine e di reputazione con la conseguente perdita di clienti”. Non a caso l’Italia, rispetto agli altri paesi analizzati (Francia, Germania, UK, Australia, Giappone, USA, India e Brasile), si posiziona al terzo posto, con il 3,8% di turnover o perdita dei clienti (3,5% nel 2011) a danno del business. La ricerca ha anche identificato alcuni fattori che possono influenzare i costi di violazione dei dati: per esempio, le aziende che avevano un piano di risposta agli incidenti hanno risparmiato 10 euro per record compromesso, mentre quelle molto forti in sicurezza hanno speso 9 euro in meno. Al contrario, le organizzazioni che avevano perso o subito il furto dei dispositivi hanno registrato un aumento dei costi di 5 euro e le violazioni causate da terzi hanno portato a un incremento di 12 euro per record compromesso. “Alla luce di questi dati”, conclude Riboli, “è opportuno che le aziende seguano precise best practice che prevedano l’utilizzo di tecnologie per la prevenzione della perdita delle informazioni e consentano la conformità alle policy di sicurezza, valutino i rischi attraverso l’individuazione e classificazione delle informazioni riservate ed educhino i dipendenti in materia di protezione informatica”. Il prezzo che le imprese pagano per la perdita di informazioni è aumentato del 19% rispetto al 2011. Nel 36% dei casi però, la responsabilità non è dei cyberattacchi, ma da negligenza