Il costo delle violazioni dati sta aumentando rapidamente, incrementando del 10% anno dopo anno secondo il rapporto 2021 di CyberSecurity Ventures. Anche il costo globale dei crimini informatici sta crescendo vertiginosamente e potrebbe raggiungere i 10,5 trilioni di dollari all’anno entro il 2025.
Determinare esattamente quanto potrebbe costare a un’azienda una potenziale violazione dei dati potrebbe essere difficile, poiché ogni attività e settore industriale presenta esposizioni e fattori di rischio unici.

costi data breach

Cos’è un Data Breach?

Ogni incidente di sicurezza in cui un’entità ottiene accesso alle informazioni di un’altra entità senza autorizzazione viene considerato una violazione dati o, data breach. Sia gli attori interni che esterni possono essere responsabili di una violazione dati e le violazioni stesse non devono necessariamente essere intenzionali per natura.
Ad esempio, se un utente invia accidentalmente dati riservati a un indirizzo email errato, ha commesso una violazione dei dati accidentale.
Lo stesso vale per un dipendente che accede a dati confidenziali di clienti o dell’azienda a cui non è autorizzato, indipendentemente dal fatto che lo faccia intenzionalmente o meno.

Ciò che sappiamo con certezza è che la maggior parte delle violazioni sono sia deliberate che motivate da motivi finanziari. In base al tipo di violazione, le esposizioni dei dati possono rientrare nelle seguenti categorie:

Violazione della confidenzialità
Quando un agente non autorizzato all’interno o all’esterno ottiene accesso a dati confidenziali per errore.

Violazione della disponibilità
Quando i dati confidenziali vengono persi o distrutti a seguito di un attacco informatico.

Violazione dell’integrità
Quando un attore interno o esterno modifica dati confidenziali intenzionalmente o per errore.

A seconda della situazione, uno qualsiasi di questi tipi di violazioni può verificarsi, singolarmente o tutti contemporaneamente.
I dati confidenziali possono includere informazioni su progetti, brevetti, condizioni commerciali, informazioni finanziarie di clienti, dipendenti o della stessa azienda.

I costi nascosti: il lato legale

Le imprese in tutta Europa devono attenersi alle leggi sulla notifica delle violazioni dei dati.
Queste leggi regolano i requisiti temporali per informare i clienti interessati e le autorità competenti.
Negli Stati Uniti, invece, la scadenza per notificare agli individui interessati differisce da stato a stato.

Nell’Unione Europea, il Regolamento Generale sulla Protezione dei Dati (GDPR) del 2018 impone una rigida regola di notifica entro 72 ore. Il GDPR è importante anche per le aziende statunitensi poiché si applica sia ai paesi dell’UE che ai paesi non UE i cui prodotti e servizi sono venduti sul mercato dell’UE. Per le aziende private, le sanzioni in caso di violazioni comprendono diverse possibilità:

  • Fino a 20 milioni di euro o fino al 4% del fatturato globale annuo (si applica la cifra più alta tra le due).
  • Possibili sanzioni penali, come stabilite dalla legislazione nazionale del paese membro dell’Unione Europea in questione. Ad esempio, in Italia, si applicano le disposizioni del Decreto Legislativo 196/2003 (Codice in materia di protezione dei dati personali) e del Decreto Legislativo 101/2018, con pene che possono arrivare fino a 5 anni di reclusione.
  • Potenziali risarcimenti che potrebbero essere richiesti dalle persone interessate vittime delle violazioni, per danni materiali e/o immateriali. Questi danni possono includere danni all’immagine, alla salute e danni economici.

Consigli per prevenire un Data Breach

Come parte di una difesa robusta, le aziende devono adottare le seguenti migliori pratiche per prevenire le violazioni dei dati e proteggersi dagli attacchi informatici.

Effettuare il backup dei dati regolarmente

La perdita di dati può comportare costi molto elevati per un’azienda.
Per minimizzare l’impatto di una violazione dei dati, le organizzazioni devono assicurarsi di avere tutti i loro dati salvati per l’uso nel caso vengano persi o distrutti.

Creare password forti

Le password deboli rappresentano l’81% delle violazioni dei dati aziendali. Di conseguenza, le organizzazioni devono fare uno sforzo per motivare i dipendenti ad utilizzare password robuste per gli account aziendali e contribuire a prevenire casi di credenziali rubate o compromesse.

La formazione è importante

I dipendenti sono la prima linea di difesa contro un attacco informatico.
Ma spesso sono anche il punto debole.
Le aziende devono promuovere una cultura aziendale consapevole della sicurezza informatica, investendo in formazioni sulla consapevolezza della sicurezza informatica che tengano i dipendenti informati, vigili e istruiti sulle minacce informatiche e su come prevenirle.

Implementare l’autenticazione Multifattore

L’autenticazione multifattore richiede più forme di identificazione per accedere a piattaforme o account. Questa strategia di sicurezza può fare molto per prevenire le violazioni dei dati, rendendo più difficile per gli hacker accedere alla rete di un’azienda.