Ci sembra interessante e degnodi attenzione il report "Cost of a Data Breach" pubblicato da IBM con la collaborazione del Ponemon Institute. Lo studio, scaricabile da questo sito, si basa su un campione di 507 aziende mentre sono oltre 3.200 le interviste realizzate e i dati rendono perfettamente il quadro: una situazione preoccupante, un fenomeno, quello del data breach, sul quale sta aumentando attenzione e sensibilità, ma ancora troppo lentamente.

I tempi di un data breach
Per quanto riguarda invece i tempi di un data breach, ce ne sono due: il tempo che intercorre tra il la scoperta del data breach e la reazione al problema. I dati delineano purtroppo una situazione fosca: la media è di 270 giorni (si, sono 9 mesi) necessari solo per individuare il problema.

Sbagliare è umano...perservare è diabolico!
Il dato forse più importante di questo studio è questo: il 49% dei casi di data breach studiati nel report IBM-Ponemon è stato provocato da semplici errori umani, tra configurazioni errate e esposizione involontaria dei dati. Torna quindi alla ribalta un punto centrale: la formazione dei dipendenti e policy di sicurezza che garantiscano di mitigare quei rischi non affrontabili con soluzioni tecniche o software. Ad esempio, è ormai fondamentale che un dipendente sappia riconoscere (o almeno sia sensibilizzato) una email contenente allegati compromessi o un tentativo di phishing. 

I costi di un data breach
Questo in un contesto in cui ormai attaccare i dati, rubare i dati, rivendere i dati, sfruttare i dati è divenuto uno dei maggiori trend (nonchè più remunerativi) per i cyber criminali. Non solo: secondo la ricerca, il costio medio del recupero di un data breacj ammonta a circa 3.92 milioni dollari, un costo medio di 150 dollari per ogni record. Un ammontare esagerato? No, se si tiene di conto che gli effetti di un data breach sono molteplici e prolungati nel teempo: oltre ai costi "tecnici", individuazione del data breach, notifica, risoluzione della falla, ci sono i costi in termini di business, di credibilità, di fiducia del cliente. Lo studio stima che la perdita in termini di business pesa per il 36% dl costo totale. Questo se il data breach è conseguente ad un attacco hacker: in caso di data breach dovuto ad errore umano i costi medi di risoluzione sono più ridotti.

Ovviamente l'impatto economico di un data breach varia a seconda delle dimensioni dell'azienda colpita: i dati sono chiari

• le imprese con più di 25.000 dipendeni subiscono un danno medio di 5 milioni di dollari, circa 200 per impiegato;
• le imprese tra 500 e 1000 dipendenti subiscono un danno medio di 2.65 milioni di dollari, circa 3.533 dollari a impiegato.

Una differenza piuttosto chiara, da imputarsi al fenomeno economico delle "economie di scala": le aziende più grandi riescono a mitigare e arginare con maggiore facilità il danno economico conseguente ad un data breach.