I dati sono patrimonio intangibile di ogni organizzazione, permettono e garantiscono la continuità delle operations e dunque del business che generano e consentono di gestire. Dunque, ogni attacco ai dati comporta innanzitutto un costo elevato per ripristinare, quando possibile, i processi preesistenti e cioè il cuore pulsante di tutte le nostre attività. 

La prima domanda è: come può essere definito e descritto un data breach?La risposta è che si tratta di una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati, personali o aziendali, può comprometterne la riservatezza, l’integrità o la disponibilità eviene attaccata così la cosiddetta triade CIA (Confidentiality – Integrity – Availability) alla base della sicurezza dell’informazione. Immaginiamo ad esempio: 

  • l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • il furto o la perdita di dispositivi informatici contenenti dati;
  • la deliberata alterazione di dati personali;
  • l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
  • la perdita o la distruzione di dati a causa di incidenti, eventi avversi, incendi o altre calamità;
  • la divulgazione non autorizzata dei dati. 

Nel caso specifico di violazione accertata di dati personali, il responsabile della protezione dei dati deve comportarsi di conseguenza ed agire secondo le Linee guida in materia di notifica delle violazioni di dati personali (data breach notification) – WP250, definite in base alle previsioni del Regolamento (UE) 2016/679, conosciuto come GDPR. 

Ma quanto può costare un data breach, e come è possibile calcolare tale costo? 

In generale, per determinare l’impatto economico di un data breach a carico di un’organizzazione, si utilizza un metodo gestionale di ricerca, analisi e contabilizzazione dei costi denominato Activity Based Costing (ABC) che identifica le attività interessate ed assegna un costo stimato ad ognuna a seconda di metriche inerenti al grado con cui sono state coinvolte nell’evento. Dobbiamo ricordare che, secondo l’ABC, un’attività si dice primaria se supporta e sostiene lo scopo fondamentale dell’azienda, la sua mission. Un’attività secondaria, invece, è quella che rende possibile la primaria. Un’attività è inoltre necessaria se va eseguita sempre e continuativamente per assicurare il corretto funzionamento del sistema azienda, all’opposto abbiamo attività discrezionali, che si intraprendono solo quando la direzione operativa lo richiede. La gestione conforme e sicura del patrimonio di dati è sicuramente un’attività secondaria necessaria in tutte le moderne organizzazioni. 

Per un evento di data breach possiamo individuare quattro macro-attività legate a processi più ampi che vanno a determinare i costi da sostenere: 

  1. Rilevazione, investigazione e ricerca di modalità e cause della vulnerabilità 
  2. Notifica ai portatori di interesse (al garante, ai mercati, ai clienti, alle persone) 
  3. Risposta dell’organizzazione ex-post con ripristino/miglioramento delle condizioni di sicurezza 
  4. Perdite in termini di business e di reputazione. 

Più in dettaglio, volendo individuare le voci di costo legate ad attività specifiche: 

Al punto 1 vi sono quelle attività che consentono ragionevolmente di poter affermare di aver individuato il problema, dal punto di vista tecnico, legale, di gestione del rischio e di comunicazione interna all’organizzazione. Dunque: 

  • Servizi di assessment e audit interno 
  • Servizi di supporto legale ed investigativo 
  • Servizi di supporto alla gestione della crisi 
  • Comunicazioni interne ai manager ed al board 

Al punto 2 vi sono tutte le attività che consentono all’organizzazione di notificare l’evento e le modalità di gestione della crisi: 

  • Contatti periodici E-mail, comunicazioni ufficiali e gestione PR 
  • Determinazione dei requisiti del regolatore e del quadro normativo di riferimento 
  • Comunicazione costante con i regolatori ed obbligo di notifica al garante 
  • Incarichi ad esperti e consulenti esterni 

Al punto 3 possiamo elencare le attività finalizzate ad aiutare le vittime del data breach nella comunicazione con l’organizzazione responsabile dei disagi e dei danni subiti: 

  • Introduzione di un help desk di contatto e supporto diretto 
  • Servizi di ripristino dei privilegi di accesso e protezione di identità 
  • Spese legali da imputare a contenziosi per interruzione di servizio 
  • Sconti su prodotti e servizi dovuti al calo reputazionale 
  • Pagamento di multe inflitte da parte del garante 

Al punto 4 si raggruppano le attività che tentano di minimizzare la perdita di clienti e di fatturato o evitare la completa distruzione dell’attività imprenditoriale costruita nel tempo: 

  • Costi legati alla perdita di clienti ed all’acquisizione di nuovi 
  • Perdita di reputazione e benevolenza nei confronti dell’organizzazione 
  • Perdita netta di valore del brand, in termini patrimoniali e di accesso al mercato 
  • Costi dovuti al ripristino di infrastrutture ed attività in seguito al downtime subito. 

Questa lista non è ovviamente esaustiva ma dà certamente un’idea della metodologia che viene seguita e delle voci di costo che impattano (spesso molto pesantemente) sui conti dell’azienda, mettendone a rischio in alcuni casi la stessa esistenza.