Le violazioni della sicurezza dei dati hanno da tempo lasciato il dominio del dipartimento IT e ora siedono saldamente al tavolo del consiglio di amministrazione: Nel 2018, British Airways ha subito una violazione della sicurezza informatica che ha portato al furto di dettagli personali e finanziari dei clienti. Il risultato è stato di vasta portata. Oltre a una multa di 20 milioni di sterline da parte dell'Information Commissioner's Office (ICO) del Regno Unito, una class action potrebbe finire per costare all'azienda miliardi di sterline. Questo livello di costo finanziario si colloca esattamente a livello del consiglio di amministrazione.
Ma le violazioni dei dati non causano solo perdite finanziarie. I clienti, i dipendenti, le operazioni e i fornitori dell'azienda sono tutti potenzialmente colpiti. Lo stato della sicurezza è tale che ora è salito in cima all'azienda come una considerazione critica del business. I membri del consiglio di amministrazione devono essere consapevoli delle implicazioni di una violazione della sicurezza ed essere pronti a intraprendere azioni positive.
Cosa deve sapere un consiglio di amministrazione sull'impatto di una violazione della sicurezza dei dati
I membri del consiglio hanno il dovere di prendersi cura della società e dei suoi azionisti. Questo si estende a garantire che la società si protegga dalle minacce, siano esse dolose o accidentali. Nel Regno Unito, i doveri fiduciari degli amministratori sono stabiliti nel Companies Act 2006, che dettaglia il dovere di "promuovere il successo della società" e di "esercitare ragionevole cura, abilità e diligenza nella condotta del loro ruolo"; i rischi informatici e la risposta a tali minacce rientrano perfettamente in questo dovere di cura. I tipi di impatto che un attacco informatico può avere sono dettagliati di seguito, ognuno può avere effetti di vasta portata sul successo continuo di una società:
Morale dei dipendenti
Le aziende funzionano meglio con persone felici ed efficienti. Se il morale è basso, la produttività cala. Un rapporto di Carbonite, che esplora come una violazione dei dati colpisce i dipendenti, mostra chiaramente che il morale del personale subisce un colpo dopo una violazione:
- Il 25% dei dipendenti sperimenta un impatto sull'equilibrio tra lavoro e vita privata
- Il 24% dei dipendenti ha subito un calo del morale in ufficio
- Il 15% delle aziende ha licenziato dipendenti o li ha messi in cassa integrazione, dopo la violazione
- L'11% delle aziende ha visto i dipendenti abbandonare dopo una violazione
Prezzo delle azioni
I direttori dei consigli di amministrazione sono sotto pressione per garantire che le quote azionarie rimangano alte per mantenere la fiducia degli azionisti. Tuttavia, ci sono prove che le violazioni dei dati hanno un impatto negativo sulle azioni. Una delle dimostrazioni più evidenti di questo è stato il crollo che le azioni di Equifax hanno preso in seguito alla violazione dei dati della società nel 2017 - scendendo oltre il 30% in totale prima di recuperare.
Unaricerca di Comparitech, condotta per diversi anni, mostra che gli impatti sui prezzi delle azioni sono comuni. La ricerca ha utilizzato società quotate al New York Stock Exchange e ha scoperto che i prezzi delle azioni sono scesi in media del -3,5% e sottoperformano il NASDAQ del -3,5%.
Conformità e multe
I regolamenti sulla privacy e la protezione dei dati spesso prevedono pesanti multe per la non conformità. Due esempi di aziende britanniche che sono state multate in base al Regolamento generale sulla protezione dei dati dell'UE (GDPR), dimostrano i costi della non conformità:
Azienda: Ticketmaster
Multa: 1,4 milioni di euro (1,2 milioni di sterline)
Perché: misure tecniche e organizzative insufficienti per garantire la sicurezza delle informazioni
Azienda Marriott International, Inc
Multa: 20,5 milioni di euro (17,8 milioni di sterline)
Perché: misure tecniche e organizzative insufficienti per garantire la sicurezza delle informazioni
Solo nel 2020, le multe GDPR sonoaumentate del 19% con un totale di 332,4 milioni di dollari di multe emesse dalla promulgazione della legge nel 2018.
Reputazione e perdite di clienti
Un rapporto di Lloyds e KPMG sulla protezione degli asset intangibili ha scoperto che negli ultimi 10-15 anni l'80% degli asset aziendali può essere descritto come intangibile - questo include il marchio, i manufatti di proprietà intellettuale e i servizi guidati dalla tecnologia. Tuttavia, uno dei risultati più difficili da quantificare di una fuga di dati o di una violazione è l'impatto sulla reputazione e la perdita di clienti. Mettendo questo in un certo contesto, un sondaggio di PwC ha scoperto che l'87% dei consumatori ha detto che porterebbe i propri affari altrove se un'azienda subisse una violazione dei dati.
Licenziamenti di dipendenti e C-Suite
In definitiva, una violazione può comportare la perdita di competenze e conoscenze. Un rapporto Radware State of Web Application Security mostra che il 23% delle aziende ha licenziato i dirigenti dopo una violazione. Un esempio è, ancora una volta, dalla violazione dei dati Equifax del 2017. L'allora CIO è stato multato di 55.000 dollari e ha ricevuto una condanna a 4 mesi di prigione per aver effettuato insider trading prima che il pubblico fosse informato della violazione.
Costi di inattività
Le violazioni della sicurezza dei dati hanno un impatto di vasta portata su tutto il business. I suddetti impatti di una violazione, non includono altre aree colpite come i tempi di inattività e la perdita di proprietà intellettuale / informazioni aziendali sensibili: Datto ha esplorato i costi dei tempi di inattività dopo una violazione della sicurezza informatica e ha scoperto che sono aumentati del 486% tra il 2018 e il 2020.
Come una violazione dei dati può avere un impatto sul consiglio di amministrazione
Una cultura della sicurezza promossa da un tono al vertice: La sicurezza informatica è una responsabilità dell'intera organizzazione, dal consiglio di amministrazione ai dipendenti, ai consulenti terzi e oltre. Nessun individuo, non un team IT o un analista di sicurezza può affrontare da solo le minacce alla sicurezza informatica, è fondamentale che il consiglio di amministrazione sia a bordo della sicurezza. Un consiglio di amministrazione con una solida e solida postura di sicurezza prende il suo tono dall'alto. Quando un consiglio prende sul serio la sicurezza informatica, si forma una cultura della sicurezza che permea tutta l'organizzazione. Questa cultura è la prima pietra per costruire la consapevolezza della sicurezza informatica in tutta la rete aziendale.
I dati sono preziosi: I dati e il potenziale di esposizione ai dati è un aspetto critico della supervisione del consiglio. Le violazioni dei dati sono costose: il costo medio di una violazione dei dati nel Regno Unito è di 2,8 milioni di sterline (3,9 milioni di dollari)
Mancanza di formazione sulla sicurezza informatica a livello di consiglio: La conoscenza della sicurezza informatica può essere un problema per un consiglio. I direttori dei consigli di amministrazione raramente provengono da un background di sicurezza. Tuttavia, i membri del consiglio dovrebbero avere una formazione sulla consapevolezza della sicurezza insieme al resto del personale dell'organizzazione. La formazione dovrebbe essere pertinente e su misura per il loro ruolo di membri del consiglio, piuttosto che un approccio "taglia unica". I dipendenti dell'azienda che hanno competenze di sicurezza informatica e hanno eccellenti capacità di comunicazione possono essere impiegati per aiutare a formare i membri del consiglio.
Impatto delle violazioni dei dati sul prezzo delle azioni: Come mostrato, le violazioni della sicurezza informatica influenzano gli azionisti, poiché i prezzi delle azioni sono influenzati dopo una violazione, quindi i membri del consiglio di amministrazione hanno il dovere di comprendere le implicazioni delle violazioni dei dati sul valore degli azionisti.
Firma della politica: le politiche di sicurezza informatica, alcune delle quali possono toccare le informazioni sensibili dell'azienda, sono una parte fondamentale di una strategia di sicurezza a livello aziendale che dovrebbe essere riconosciuta e potenzialmente firmata dal consiglio o da un membro del consiglio.
Un senso collettivo di responsabilità: Il team di leadership deve guidare la carica contro gli attacchi informatici. La C-Suite e il consiglio di amministrazione possono incoraggiare e promuovere un senso di responsabilità condiviso che si estende anche alla consapevolezza dell'esposizione accidentale dei dati e dei semplici errori di sicurezza che possono mettere un'organizzazione a un rischio maggiore.
Tutto per la responsabilità: L'organizzazione e gli individui che la compongono sono responsabili dell'igiene della sicurezza informatica. La cultura della consapevolezza della sicurezza informatica, promossa dal consiglio di amministrazione, aiuta a formare la formazione necessaria per garantire che l'igiene della sicurezza sia rispettata da tutti.
Salire a bordo con la prevenzione della violazione dei dati
Un rapporto di Grant Thornton ha scoperto che il 73% delle aziende ha riportato perdite di circa il 25% delle entrate dopo aver subito una violazione informatica. Questo da solo è un motivo importante per cui la sicurezza informatica si trova esattamente nella sala riunioni. Un attacco informatico ha grandi ripercussioni su tutti gli aspetti di un'organizzazione. Il consiglio gioca un ruolo fondamentale nell'aiutare a creare una solida posizione di sicurezza, oltre a garantire che il budget sia disponibile per fornire le giuste misure di sicurezza e la formazione di consapevolezza.
Le conseguenze di una violazione dei dati possono avere conseguenze paralizzanti per le organizzazioni e c'è inevitabilmente un gioco di colpe che segue qualsiasi incidente informatico. Il nostro prossimo webcast intitolato 'The Data Breach Blame Game: Employees or Employers?', il 27 maggio alle 3pm BST, discute il tema sempre più complesso della responsabilità e di chi è responsabile quando si verifica un errore.
