Con le violazioni dei dati sempre più frequenti, non è più questione di "se" un'organizzazione verrà attaccata, ma di "quando". I criminali informatici hanno sfruttato la situazione attuale per lanciare una serie di attacchi informatici sofisticati che hanno preso di mira una vasta gamma di settori.
Sembra che non ci sia una tregua nel flusso continuo di violazioni di dati, e se non altro, stanno aumentando in frequenza e gravità. Secondo un recente Risk Based Security Report, i primi sei mesi del 2020 hanno già visto uno sbalorditivo 8,4 miliardi di record esposti.
Le conseguenze a lungo termine di una violazione dei dati sono diventate fin troppo reali e molte organizzazioni sono ormai consapevoli dei danni che potrebbero derivare da una violazione costosa. Le multe inflitte a British Airways e Marriot evidenziano quanto seriamente l'ICO intenda considerare le violazioni del GDPR in futuro.
Come sono colpite le organizzazioni violate?
Una violazione dei dati può causare danni irreparabili e gli effetti a lungo termine possono essere invalidanti. Oltre alle ingenti sanzioni pecuniarie che possono essere comminate in caso di mancata conformità, le organizzazioni possono dover affrontare ulteriori costi dovuti ai tempi di inattività operativa, alla perdita dei dati dei clienti, all'implementazione di nuove misure di sicurezza e al risarcimento dei clienti interessati.
Una violazione può anche avere un impatto significativo sulla fiducia dei consumatori, sul valore delle azioni e danneggiare la reputazione del marchio. La sfortunata realtà è che molti consumatori perderanno la fiducia in un'azienda se ritengono che le loro informazioni personali non siano adeguatamente protette.
Le violazioni dei dati possono avere un impatto significativo sulle valutazioni delle aziende e sul prezzo delle azioni. Un esempio lampante è la violazione dei dati di Yahoo del 2013. Oltre 3 miliardi di account di utenti sono stati compromessi esponendo informazioni sensibili dei clienti, tra cui indirizzi e-mail, password, numeri di telefono e date di nascita.
La violazione è venuta alla luce nel 2016, quando l'azienda stava per essere acquistata dalla società di telecomunicazioni statunitense Verizon. L'acquisizione è andata avanti e gli investitori hanno comprato Yahoo per una cifra scontata di 4,48 miliardi di dollari, circa 350 milioni di dollari in meno rispetto al prezzo originale delle azioni.
Un rapporto dell'ente professionale (ISC)2 ha inoltre evidenziato l'impatto che una violazione dei dati può avere sulla valutazione di un'azienda. La ricerca ha rivelato che se un'azienda subisce una violazione dei dati, può far scendere significativamente il prezzo delle sue azioni in borsa.
Nel rapporto sono stati intervistati 250 esperti di fusioni e acquisizioni con sede negli Stati Uniti, e il 49% di questi esperti ha assistito al fallimento di un accordo di fusione o acquisizione a causa di una violazione dei dati. Inoltre, l'86% degli intervistati ha detto che se un'azienda ha riferito pubblicamente una violazione nel suo passato, questo detrarrebbe il prezzo di acquisizione assegnato.
Tuttavia, il 77% ha dichiarato di aver precedentemente raccomandato l'acquisizione di un'azienda piuttosto che un'altra per la forza del suo programma di sicurezza informatica. Il 96% ha anche notato che la prontezza della Cyber Security entra nel calcolo quando valutano il valore monetario complessivo di un potenziale obiettivo di acquisizione.
Lo studio mostra che mentre la maggior parte delle aziende preferirebbe non sperimentare una violazione dei dati, se hanno preso misure per gestirla bene, hanno adeguato le politiche e i processi e migliorato la loro posizione generale di sicurezza, saranno guardati più favorevolmente dai finanziatori e dai leader aziendali.
Un solido programma di sensibilizzazione alla Cyber Security è fondamentale per mitigare il rischio e prepararsi all'inevitabile. Se le organizzazioni investono nella Cyber Security e sono in grado di dimostrare di aver adottato tutte le misure necessarie per proteggere la sicurezza delle informazioni, è improbabile che debbano affrontare la piena collera delle autorità di regolamentazione e il loro valore azionario potrebbe non subire un impatto negativo rispetto alle aziende che hanno scelto di non fare nulla.
Clicca qui per saperne di più sulle 5 conseguenze dannose di una violazione dei dati
Migliori pratiche per evitare una violazione dei dati
- Formazione del personale - Instillare buone abitudini di sicurezza informatica nel personale è il modo migliore per difendere l'organizzazione dagli attacchi. Il 60% delle 4856 violazioni di dati personali segnalate all'ICO nella prima metà del 2019 sono state causate da errori umani. Le organizzazioni tendono a concentrarsi sulle minacce esterne, ma spesso sono i loro stessi dipendenti a rappresentare il rischio maggiore per la sicurezza. Una campagna di sensibilizzazione completa sulla sicurezza che utilizzi una serie di strumenti e tecniche è il modo migliore per coinvolgere il personale e istruirlo sull'evoluzione del panorama delle minacce.
- Aggiornare il software di sicurezza - Il software di sicurezza dovrebbe essere aggiornato regolarmente per impedire agli hacker di accedere alle reti attraverso le vulnerabilità dei sistemi più vecchi e obsoleti. Questo è esattamente il modo in cui gli hacker sono riusciti ad accedere alle informazioni personali di oltre 143 milioni di americani nella famigerata violazione dei dati di Equifax nel 2017. Una correzione per questa vulnerabilità era stata resa disponibile due mesi prima della violazione, ma l'azienda non ha aggiornato il suo software.
- Audit regolari e valutazioni del rischio - Il GDPR specifica che le organizzazioni devono condurre audit regolari delle attività di trattamento dei dati e rispettare una serie di principi di protezione dei dati che aiuteranno a salvaguardare i dati. Questo assicurerà che sia in atto un quadro adeguato che manterrà sicure le informazioni personali identificabili dei clienti e attenuerà qualsiasi rischio. L'implementazione di un efficace sistema di gestione delle politiche consentirà alle organizzazioni di dimostrare la conformità con i requisiti legislativi e di indirizzare efficacemente le aree che presentano il più alto rischio per la sicurezza dei dati.
- Sicurezza delle password - Uno dei modi più facili per gli hacker di ottenere l'accesso ai sistemi aziendali sensibili è quello di indovinare le password. Per una maggiore sicurezza, gli utenti dovrebbero creare una passphrase che è una password composta da una frase o una combinazione di parole. La prima lettera di ogni parola costituirà la base della password e le lettere possono essere sostituite da numeri e simboli per aggiungere un'ulteriore linea di difesa. L'autenticazione a due fattori (2FA) fornirà anche un ulteriore livello di sicurezza agli account. Oltre alla password, la 2FA richiede una seconda informazione per confermare l'identità dell'utente. Questa potrebbe essere una domanda di sicurezza, un'impronta digitale o un codice unico.
Per contribuire a migliorare la consapevolezza della sicurezza informatica all'interno della vostra organizzazione e ridurre la possibilità di una costosa violazione dei dati, abbiamo creato una guida gratuita che fornisce 10 consigli pratici su come migliorare la consapevolezza della sicurezza informatica del personale.
In questa guida, imparerete:
- Come sviluppare un solido piano di sensibilizzazione sulla sicurezza informatica che riduca il rischio di violazione dei dati.
- Cosa è necessario per rendere efficace un programma di sensibilizzazione sulla sicurezza informatica.
- Consigli pratici per migliorare la consapevolezza del personale in materia di sicurezza informatica.
Clicca qui per accedere alla tua guida 10 modi per migliorare la consapevolezza della sicurezza informatica del personale.