Perché una violazione della sicurezza dei dati è un problema della sala riunioni?
Pubblicato su: 4 Mag 2021
Ultima modifica il: 24 Lug 2025
Le violazioni della sicurezza dei dati hanno lasciato da tempo il dominio del reparto IT e ora siedono saldamente al tavolo del consiglio di amministrazione: Nel 2018, British Airways ha subito una violazione della sicurezza informatica che ha portato al furto dei dati personali e finanziari dei clienti. Il risultato è stato di vasta portata. Oltre a una multa di 20 milioni di sterline da parte dell’Information Commissioner’s Office (ICO) del Regno Unito, una class action potrebbe costare all’azienda miliardi di sterline. Questo livello di costi finanziari si colloca al livello del consiglio di amministrazione.
Ma le violazioni dei dati non causano solo perdite finanziarie. I clienti, i dipendenti, le attività e i fornitori dell’azienda sono tutti potenzialmente coinvolti. Lo stato di salute della sicurezza è tale che ora è salita al vertice dell’azienda come considerazione critica per il business. I membri del consiglio di amministrazione devono essere consapevoli delle implicazioni di una violazione della sicurezza ed essere pronti a intraprendere azioni positive.
Cosa deve sapere il consiglio di amministrazione sull’impatto di una violazione della sicurezza dei dati
I membri del consiglio di amministrazione hanno un dovere di diligenza nei confronti della società e dei suoi azionisti. Questo si estende a garantire che l’azienda si protegga dalle minacce, siano esse dolose o accidentali. Nel Regno Unito, i doveri fiduciari degli amministratori sono definiti nel Companies Act del 2006, che prevede il dovere di “promuovere il successo della società” e di “esercitare una ragionevole cura, abilità e diligenza nello svolgimento del proprio ruolo”; i rischi informatici e la risposta a tali minacce rientrano perfettamente in questo dovere di cura. I tipi di impatto che un attacco informatico può avere sono descritti di seguito, ognuno dei quali può avere effetti di vasta portata sul continuo successo di un’azienda:
Il morale dei dipendenti
Le aziende funzionano meglio con persone felici ed efficienti. Se il morale è basso, la produttività diminuisce. Un rapporto di Carbonite, che analizza l’impatto di una violazione dei dati sui dipendenti, mostra chiaramente che il morale del personale subisce un duro colpo dopo una violazione:
- Il 25% dei dipendenti subisce un impatto sul proprio equilibrio tra lavoro e vita privata
- Il 24% dei dipendenti ha registrato un calo del morale in ufficio
- Il 15% delle aziende ha licenziato o messo in cassa integrazione i dipendenti dopo la violazione.
- L’11% delle aziende ha visto i dipendenti licenziarsi dopo una violazione
Prezzo delle azioni
I consiglieri di amministrazione sono costretti a garantire che le quote azionarie rimangano elevate per mantenere la fiducia degli azionisti. Tuttavia, è dimostrato che le violazioni dei dati hanno un impatto negativo sulle azioni. Una delle dimostrazioni più evidenti di questo fenomeno è stato il crollo delle azioni di Equifax all’indomani della violazione dei dati dell’azienda nel 2017, con un calo totale di oltre il 30% prima di riprendersi.
Una ricerca di Comparitech, condotta per diversi anni, dimostra che l’impatto sul prezzo delle azioni è comune. La ricerca ha utilizzato le società quotate alla Borsa di New York e ha rilevato che i prezzi delle azioni sono scesi in media del -3,5% e che il NASDAQ ha registrato una sottoperformance del -3,5%.
Conformità e multe
I regolamenti sulla privacy e la protezione dei dati spesso prevedono pesanti multe in caso di non conformità. Due esempi di aziende britanniche che sono state multate in base al Regolamento generale sulla protezione dei dati (GDPR) dell’UE dimostrano i costi della non conformità:
Azienda: Ticketmaster
Multa: 1,4 milioni di euro (1,2 milioni di sterline)
Perché: misure tecniche e organizzative insufficienti per garantire la sicurezza delle informazioni
Azienda Marriott International, Inc
Multa: 20,5 milioni di euro (17,8 milioni di sterline)
Perché: misure tecniche e organizzative insufficienti per garantire la sicurezza delle informazioni
Solo nel 2020, le multe del GDPR sono aumentate del 19%, con un totale di 332,4 milioni di dollari di multe emesse dall’entrata in vigore della legge nel 2018.
Perdita di reputazione e di clienti
Un rapporto di Lloyds e KPMG sulla protezione degli asset intangibili ha rilevato che negli ultimi 10-15 anni l’80% degli asset aziendali può essere definito intangibile: questo include il marchio, i manufatti di proprietà intellettuale e i servizi basati sulla tecnologia. Tuttavia, uno dei risultati più difficili da quantificare di una fuga di dati o di una violazione è l’impatto sulla reputazione e la perdita di clienti. Per contestualizzare questo aspetto, un’indagine di PwC ha rilevato che l’87% dei consumatori ha dichiarato che si rivolgerebbe altrove se un’azienda subisse una violazione dei dati.
Licenziamenti di dipendenti e C-Suite
In definitiva, una violazione può comportare la perdita di competenze e conoscenze. Un rapporto di Radware State of Web Application Security mostra che il 23% delle aziende ha licenziato i dirigenti dopo una violazione. Un esempio è, ancora una volta, la violazione dei dati di Equifax del 2017. L’allora Il CIO è stato multato di 55.000 dollari e ha ricevuto una condanna a 4 mesi di carcere per aver effettuato insider trading prima che il pubblico fosse informato della violazione.
Costi di inattività
Le violazioni della sicurezza dei dati hanno un impatto di vasta portata su tutta l’azienda. Gli impatti di una violazione sopra citati non includono altre aree interessate, come i tempi di inattività e la perdita di proprietà intellettuale/informazioni aziendali sensibili: Datto ha analizzato i costi dei tempi di inattività dopo una violazione della sicurezza informatica e ha scoperto che sono aumentati del 486% tra il 2018 e il 2020.
Come una violazione dei dati può avere un impatto sul consiglio di amministrazione
Una cultura della sicurezza promossa da un tono di voce ai vertici: La sicurezza informatica è una responsabilità dell’intera organizzazione, dal consiglio di amministrazione ai dipendenti, ai consulenti di terze parti e oltre. Nessun individuo, né un team IT o un analista di sicurezza può affrontare da solo le minacce alla sicurezza informatica: è fondamentale che il consiglio di amministrazione si impegni per la sicurezza. Un consiglio di amministrazione solido e solido in materia di sicurezza prende il tono dall’alto. Quando il consiglio di amministrazione prende sul serio la sicurezza informatica, si forma una cultura della sicurezza che permea tutta l’organizzazione. Questa cultura è la base per costruire la consapevolezza della sicurezza informatica in tutta la rete aziendale.
I dati sono preziosi: I dati e il potenziale di esposizione ai dati sono un aspetto critico della supervisione del consiglio di amministrazione. Le violazioni dei dati sono costose: il costo medio di una violazione dei dati nel Regno Unito è di 2,8 milioni di sterline (3,9 milioni di dollari).
Mancanza di formazione sulla sicurezza informatica a livello di consiglio di amministrazione: La conoscenza della sicurezza informatica può essere un problema per il consiglio di amministrazione. I consiglieri di amministrazione raramente hanno un background di sicurezza. Tuttavia, i membri del consiglio di amministrazione dovrebbero seguire un corso di formazione sulla sicurezza insieme al resto del personale dell’organizzazione. La formazione deve essere pertinente e personalizzata per il loro ruolo di membri del consiglio di amministrazione, piuttosto che un approccio “uguale per tutti”. I dipendenti dell’azienda che possiedono competenze in materia di sicurezza informatica e ottime capacità di comunicazione possono essere impiegati per aiutare a formare i membri del consiglio.
Impatto sul prezzo delle azioni delle violazioni dei dati: Come dimostrato, le violazioni della sicurezza informatica si ripercuotono sugli azionisti in quanto i prezzi delle azioni subiscono un impatto dopo una violazione, pertanto i membri del consiglio di amministrazione hanno il dovere di comprendere le implicazioni delle violazioni dei dati sul valore degli azionisti.
Firma delle politiche: le politiche di sicurezza informatica, alcune delle quali possono riguardare informazioni aziendali sensibili, sono una parte fondamentale della strategia di sicurezza aziendale che dovrebbe essere riconosciuta e potenzialmente firmata dal consiglio di amministrazione o da un suo membro.
Un senso di responsabilità collettiva: Il team di leadership deve guidare la carica contro gli attacchi informatici. La C-Suite e il consiglio di amministrazione possono incoraggiare e promuovere un senso di responsabilità condiviso che si estende anche alla consapevolezza dell’esposizione accidentale dei dati e dei semplici errori di sicurezza che possono mettere a rischio l’organizzazione.
Tutti a favore della responsabilità: L’organizzazione e gli individui che la compongono sono responsabili dell’igiene della sicurezza informatica. La cultura della consapevolezza della sicurezza informatica, promossa dal consiglio di amministrazione, aiuta a definire la formazione necessaria per garantire che l’igiene della sicurezza sia rispettata da tutti.
Impegnarsi nella prevenzione delle violazioni dei dati
Secondo un rapporto di Grant Thornton, il 73% delle aziende ha registrato perdite pari a circa il 25% del fatturato dopo aver subito una violazione informatica. Questo è il motivo principale per cui la sicurezza informatica è al centro dell’attenzione dei consigli di amministrazione. Un attacco informatico ha ripercussioni importanti su tutti gli aspetti di un’organizzazione. Il consiglio di amministrazione svolge un ruolo fondamentale nel contribuire a creare una solida struttura di sicurezza, oltre a garantire la disponibilità di budget per fornire le giuste misure di sicurezza e la formazione di sensibilizzazione.
Le conseguenze di una violazione dei dati possono avere conseguenze devastanti per le organizzazioni e, inevitabilmente, ogni incidente informatico è seguito da un gioco di colpe. Il nostro prossimo webcast intitolato “The Data Breach Blame Game: Employees or Employers?”, che si terrà il 27 maggio alle ore 15:00, affronta il tema sempre più complesso della responsabilità e di chi è responsabile quando si verifica una violazione.