In vista del nostro evento dedicato alla Cybersecurity, il prossimo 4 maggio alle ore 18:30, in questo articolo cerchiamo di capire quanto costa un attacco data breach (una violazione o furto di dati ndr.) ad una PMI.
Facciamo un esempio
l’esempio è quello di un’azienda con un fatturato di cinque milioni di euro all’anno e ipotizziamo che questa sia stata vittima di un attacco hacker, in seguito al quale tutti i dati conservati nei server aziendali, compresi i backup di rete, risultino irrecuperabili.
A quanto ammonterebbe il danno monetario causato da una violazione di dati?
Supponiamo che venga applicata una sanzione calcolata sul 4% sul fatturato. Sanzione: 200.000 euro.
Ipotizziamo inoltre che si perdano gli ultimi 5 anni di dati gestionali e siano necessari, 6 mesi di lavoro di due impiegati, con un costo medio mensile circa di 6.000 euro. Reinserimento dati: 36.000 euro
Pensiamo anche ad una perdita in produttività e immagine aziendale nei mesi successivi al data breach ipotizzando verosimilmente un calo del fatturato del 5%. Danni d’immagine, fatturato, calo di produttività: 250.000 euro.
In conclusione, il danno monetario causato da un data breach per un’azienda che fattura 5 milioni di euro potrebbe valere oltre 450.000 euro, oltre alle possibili implicazioni derivanti da sanzioni penali, che in Italia prevedono pene fino a 5 anni di reclusione. Ci sono, inoltre, possibili danni difficili da conteggiare se non a lungo termine, come ad esempio lo stress generato a livello aziendale.
Come può proteggersi una PMI?
Se adotta i giusti accorgimenti prevenire le violazioni è possibile. Il primo passo è quello di definire delle policy di sicurezza aziendale e formare adeguatamente tutti i dipendenti sui comportamenti da attuare per evitare imprevisti e danni accidentali. Infatti, in circa l’80% dei casi le violazioni hanno origini interne all’organizzazione e, più precisamente, dall’errore umano dovuto a scarsa consapevolezza e formazione sul tema.
Inoltre, risulta essenziale delineare una strategia di difesa bene organizzata e a lungo termine. Quest’ultima non si deve limitare alla sola fase di prevenzione, ma permetta un costante monitoraggio e un piano di azioni di risposta efficace. Durante le ispezioni il Garante tiene conto di diversi fattori nel valutare l’opportunità di comminare una sanzione e il suo ammontare; tra questi troviamo oltre alla natura, la gravità e la durata della violazione anche le misure adottate nell’immediatezza del fatto per contenere i danni.