Quanto costa alle aziende un data breach? 827.000 $, 1,2 milioni se pubblico

di Evgeniya Naumova, Executive VP, Corporate Business at Kaspersky.

Le aziende che in questo periodo stanno pianificando i budget per il nuovo anno dovranno tenere ancora conto dell’impatto che la pandemia continua ad avere su ogni settore di business. La sempre maggiore digitalizzazione dei processi aziendali imporrà alle organizzazioni di inserire tra le priorità anche gli investimenti in cybersecurity.

Lo scorso anno la pianificazione dei budget è avvenuta alla fine del 2020, nel bel mezzo della pandemia, e questo ha portato molte aziende a muoversi con cautela. Infatti, guardando ai dati dell’ultimo report di Kaspersky IT Security Economics, il budget medio di cybersecurity per il 2021 è rimasto praticamente invariato per le piccole aziende: 267.000 dollari, rispetto ai 275.000 dollari dell’anno precedente. Ma nelle grandi aziende, l’allocazione è diminuita – da 14 milioni di dollari nel 2020 a 11,4 milioni di dollari nel 2021. Anche se a livello globale l’impatto finanziario delle violazioni di sicurezza informatica non è aumentato significativamente (per le PMI è cresciuto di poco nel 2021, mentre per le enterprise è diminuito del 15%), in Europa la situazione è diversa.

Guardando ai dati europei, infatti, l’impatto finanziario delle violazioni dei dati per le PMI è cresciuto del 6% nel 2021 passando da 89 mila dollari nel 2020 a 95 mila dollari nel 2021, mentre per le enterprise è stato registrato addirittura un aumento del 31% passando da 839 mila dollari del 2020 a 1.1 milione di dollari nel 2021.
Inoltre, per un’azienda la violazione dei dati può portare alla perdita di contratti o multe, ma anche a perdite indirette come la necessità di richiedere supporto a consulenti di relazioni pubbliche nel caso il breach diventi di pubblico dominio.

Dall’indagine di Kaspersky è emerso, infatti, che il costo medio di una violazione dei dati per una enterprise il cui data breach non sia stato diffuso dai media è stato di 827.000 dollari. Sale a 1,2 milioni nei casi in cui la violazione viene divulgata.
Nel 2021, il numero di aziende che ha dichiarato di aver subito una violazione dei dati è stato inferiore rispetto agli scorsi anni. Questo si può attribuire agli investimenti significativi in cybersecurity in risposta alle precedenti violazioni dei dati – come il miglioramento dei software e dell’infrastruttura IT o la formazione dei dipendenti – che hanno dato i loro frutti. Un altro tema che rende prioritaria la spesa in cybersecurity è la crescente adozione dei servizi cloud.
La nostra ricerca annuale ha dimostrato che, con l’inizio della pandemia, l’uso dei servizi cloud da parte delle aziende è aumentato. Nel 2019, ad utilizzare un servizio cloud – privato, pubblico o infrastrutture desktop virtuali (VDI) – è stato il 72% delle imprese. Nel 2020-2021, questa percentuale è aumentata all’88% . Questo nuovo trend ha portato alla nascita di nuove esigenze per la protezione dell’infrastruttura in-the-cloud e la necessità di dotarsi di soluzioni di cybersecurity dedicate.
Inoltre, il lavoro a distanza e la digitalizzazione dei processi aziendali hanno reso la sicurezza di un’infrastruttura molto più difficile poiché più un sistema diventa complesso e più è difficile tenere traccia di ciò che accade al suo interno. Questo ha portato molte aziende non solo a pianificare ulteriori investimenti in sicurezza ma anche ad affidare la sicurezza a fornitori esterni specializzati. La necessità di una forza lavoro qualificata e di competenze specifiche non è certo una novità ma quest’anno per la prima volta è stata una delle principali motivazioni che ha convinto le aziende a esternalizzare la gestione della cybersecurity aziendale.
Infatti, con la rapida adozione di nuove tecnologie e il cambiamento dei modelli di lavoro, combinati con la crescita esponenziale della complessità IT, le imprese di medie e grandi dimensione (52% e 56%) hanno affidato la gestione della sicurezza a un MSP. Non sappiamo con certezza quali nuove sfide porterà il prossimo anno. Nonostante il naturale desiderio umano di voler andare sul sicuro, esiste la grande opportunità di cambiare e prendere decisioni coraggiose. Questo vale anche per il processo di budgeting: l’approccio del “facciamo come l’anno scorso” non funzionerà più. La valutazione e la modellazione del rischio dovrebbero essere fatte in base alle tendenze più recenti, ai cambiamenti che avvengono nell’infrastruttura aziendale e nei processi di business e, soprattutto, in base alle esigenze del business. Andando oltre, per poter mantenere sicuri sistemi specifici, è necessario un nuovo approccio in cui la protezione sia considerata fin dall’inizio dello sviluppo. Questo approccio “secure by design” aiuterà le aziende a raggiungere la Cyber Immunity dalla maggior parte dei rischi.