Security Notes

Ponemon Institute, quali sono i costi di una violazione di dati?

cyber security

Ogni anno il pubblica una studio relativo al costo affrontato dalle organizzazioni a seguito di una violazione dei . Lo studio è tra i più interessanti nel suo genere e approccia il concetto di “violazione dei ” sotto il profilo economico, prospettiva importante per coloro che devono prendere decisioni per la salvaguardia del patrimonio informativo aziendale. Quest’anno i ricercatori del Ponemon Institute hanno analizzato i forniti da 350 aziende in 11 differenti paesi, ciascuna delle aziende censite ha subito una violazione di nel corso dell’ultimo anno.

Secondo i dati inclusi nel rapporto appena pubblicato da IBM e Ponemon Institute, il costo di ciascun record sottratto a seguito di una violazione dei dati ha raggiunto i 154 dollari di quest’anno, il valore è il massimo osservato sino ad ora ed evidenzia una crescita del 12 per cento rispetto allo scorso anno (145 dollari ).

Come già osservato nelle precedenti edizioni dello studio, i costi di una violazione dei dati varia sensibilmente in relazione all’area geografica in cui operano le aziende e dal settore in cui operano, è degli Stati Uniti il primato del costo più alto per record, circa 217 dollari, seguiti dalla Germania con 211 dollari.

ponemon1

Il settore sanitario è quello ad aver patito i costi più alti, con una media di 363 dollari per record, un dato che non sorprende gli esperti a causa dell’elevato valore delle informazioni contenute nelle cartelle cliniche per l’ecosistema criminale.

Secondo dati forniti da Dell, una collezione di credenziali relative ad una assicurazione sanitaria nel 2013 venivano venduti per 20 dollari nel mercato nero, un prezzo circa dieci volte superiore rispetto a quello delle carte di credito rubate a utenti degli Stati Uniti. Caleb Barlow, vice presidente di IBM Security, ha spiegato che i dati in una cartella clinica hanno una durata molto più lunga di quella di un numero di carta di credito, circostanza che agevola le organizzazioni criminali che quindi possono utilizzarli per periodi più lunghi.

ponemon2

Un altro risultato allarmante emerso del rapporto Ponemon è il costo medio totale di una singola violazione dei dati che è balzata a 3,79 milioni dollari facendo registrare un aumento del 23%. L’analisi del costo di una violazione dei dati rivela che “la perdita del business” è la principale componente economica per una violazione dei dati.

Lo studio ha analizzato anche altri fattori che potrebbero influenzare il costo di una violazione dei dati, come ad esempio la disponibilità di un team di risposta agli incidenti. Una struttura dedicata alla risposta all’incidente informatico potrebbe aiutare a mitigare tempestivamente l’evento avverso, contribuendo ad una riduzione dei costi per ciascun record di circa 12,60 dollari. Altri fattori che influenzano l’impatto economico di una violazione di dati sono l’adozione di meccanismi di cifratura dei dati (riduzione dei costi stimata in $12 per record), la formazione dei dipendenti (riduzione dei costi di 8 dollari) e la presenza di un CISO (riduzione dei costi di  5,60 dollari).

D’altra parte, i fattori che concorrono all’aumento dei costi sono l’eventuale coinvolgimento di una organizzazione di terza parte (16 dollari per record), eventuali servizi in outsourcing (4.50 dollari per record) e la perdita o il furto dei dispositivi aziendali (9 dollari per record).

Ponemon3

E’ semplice comprendere che il costo di una violazione dei dati aumenta con il tempo necessario per mitigare l’incidente, lo studio rivela che in media ci sono voluti 256 per individuare una violazione ai sistemi informativi di una azienda con conseguente esposizione dei dati, mentre per contenere l’incidente in media ci sono voluti 82 giorni.

Vi suggerisco un’attenta lettura del rapporto poichè lo studio fornisce molti spunti di riflessione e consente ai “decision-maker” di un organizzazione di valutare l’impatto di una violazione di date e la possibilità di ridurne gli effetti mediante l’adozione di opportune misure contenitive.

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

2 commenti

Commenti e reazioni su:

Loading Facebook Comments ...

2 Comments

  1. Pingback: ABC della sicurezza: "Botnet" | Tech Economy

  2. Pingback: ABC della sicurezza: Botnet - Luigi Cristiani

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This