Secondo l’inchiesta condotta dal Ponemon Institute, dopo che le aziende hanno subito una violazione dei dati, esse soffrono un calo medio dei loro prezzi azionari pari al 5%. L’inchiesta è stata condotta intervistando 113 aziende in 4 settori (finanziere, assicurativo, sanitario, e farmaceutico) e tiene conto dei costi relativi alle attività di risposta alle violazioni, i danni di immagine e quindi anche il prezzo pagato per il mancato business.
Lo studio ha confermato come le aziende che hanno già investito nella cyber sicurezza sono state meno colpite dagli effetti secondari degli attacchi e sono state in grado di recuperare più velocemente.
I prezzi delle azioni di tali aziende sono diminuiti solo del 3%, e il valore delle azioni è stato recuperato in media in appena sette giorni; i tempi di recupero brevi sono essenzialmente relativi al fatto che le aziende più attente hanno investito nella formazione e nella creazione di ruoli specifici che hanno permesso loro di passare quasi illese gli effetti dell’attacco.
Invece, per quelle aziende che avevano scarse strutture di protezione e sicurezza informatica, ci sono voluti più di 90 giorni per recuperare il valore delle loro azioni.
Da tutto ciò traspare come l’essersi preparati in anticipo ad attacchi di questo genere ha garantito alle aziende più dinamiche di mantenere un alto valore delle azioni preservando il proprio capitale che altrimenti si sarebbe deteriorato in modo drammatico e per lungo tempo, come è avvenuto alle aziende meno preparate sul fronte sicurezza.
Come rafforzare la propria cyber sicurezza
A ridurre i costi delle violazioni contribuiscono la formazione del personale, i sistemi di crittografia e – appunto – l’esistenza di un team dedicato che conosca le procedure e sia in grado di tradurre in pratica i programmi di business continuity.
Un fattore decisivo nel ridurre le conseguenze economiche di un incidente che causi la perdita di dati e che le aziende si dotino di strumenti tecnici adeguati e di figure di riferimento tra cui:
- La presenza di un Chief Information Security Officer (CISO)
- Un budget per la adeguata formazione del personale e per le tecnologie della sicurezza
- Strumenti tecnici adeguati: l’adozione su vasta scala di sistemi di cifratura dei dati
- Programmi di formazione e sensibilizzazione del personale alla fine di ridurre la negligenza dei lavoratori
- Verifica periodica delle vulnerabilità di sicurezza
- Un programma completo con politiche e valutazioni per gestire il rischio di terze parti
La responsabilità delle aziende
I nuovi requisiti normativi come il GDPR in Europa rappresentano una sfida e un’opportunità per le aziende che cercano di gestire meglio la loro risposta alle violazioni dei dati.
Secondo la già citata inchiesta dell’istituto Ponemon, meno della metà dei responsabili di marketing e dei professionisti IT pensano che la responsabilità di assicurare le informazioni personali dei consumatori sia delle aziende.
D’altro canto, sempre secondo questo rapporto, quando un’azienda infrange le regole sulla protezione dei dati personali dei consumatori, i consumatori incolpano direttamente l’azienda a cui hanno affidato i loro dati. Degli intervistati che hanno dichiarato di essere vittima di una violazione dei dati, il 65% ha dichiarato di aver perso fiducia nell’azienda responsabile della violazione e il 31% ha interrotto i rapporti con essa.
Sicurezza e ISO 27001
La norma ISO 27001 è lo standard internazionale che definisce le specifiche di un sistema di gestione della sicurezza delle informazioni (SGSI) e rappresenta un approccio di best practice per gestire la sicurezza delle informazioni che comprende persone, processi e tecnologia. La valutazione e la gestione dei rischi della sicurezza delle informazioni sono il cuore dell’approccio alla norma ISO 27001.
Il conseguimento e il mantenimento della certificazione accreditata secondo lo standard internazionale per la gestione della sicurezza delle informazioni – ISO 27001 – può essere un’impresa complicata, soprattutto per chi deve implementare le norme per la prima volta.
Scopri quali sono i nove passi che conducono ad una certificazione ISO 27001 di successo con questa indispensabile guida >>
