La stampa ci informa che gli hacker stanno vincendo, e in alcuni casi è davvero così. La recente ricerca effettuata dal Ponemon Institute evidenzia come i colleghi stanno contrattaccando e utilizzano la tecnologia e le best practice per ridurre l’impatto finanziario dei crimini informatici.
Oltre 2000 sondaggi con i professionisti senior di 252 aziende in sette paesi mostrano perdite medie annue superiori a USD7,7 milioni con picchi che vanno oltre USD65 milioni. Scopri qual è la situazione dei tuoi colleghi per posizione, settore e dimensioni aziendali.
Alcune organizzazioni stanno ottenendo buoni risultati, contenendo le perdite annue fino a USD1,9 milioni con le soluzioni di sicurezza come sistemi di gestione di informazioni ed eventi di sicurezza (SIEM), tecnologie di crittografia e sistemi di prevenzione delle intrusioni di ultima generazione (NGIPS). Utilizza queste informazioni per pianificare le tue difese. Scendi nel dettaglio dei rapporti per scoprire quali difese sono più largamente impiegate, quali sono più efficaci e quali offrono un maggior ritorno sull’investimento.
Similar to Studio sul costo della criminalità informatica 2015: Studio globale. Studio di riferimento di aziende globali. Ponemon Institute ottobre 2015
La Reputazione Della TAP Air Portugal Dopo Il Cyber Attacco [CASE STUDY].pdfHelpRansomware
Similar to Studio sul costo della criminalità informatica 2015: Studio globale. Studio di riferimento di aziende globali. Ponemon Institute ottobre 2015 (20)
State of Security Operations 2016 report of capabilities and maturity of cybe...
Studio sul costo della criminalità informatica 2015: Studio globale. Studio di riferimento di aziende globali. Ponemon Institute ottobre 2015
1. Studio sul costo della criminalità
informatica 2015: Studio globale
Rapporto di ricerca Ponemon Institute
Sponsorizzato da Hewlett Packard Enterprise
Condotto autonomamente da Ponemon Institute LLC
Data di pubblicazione: ottobre 2015
2. Rapporto di ricerca Ponemon Institute Pagina 1
Studio sul costo della criminalità informatica 2015: Studio globale
Studio di riferimento di aziende globali
Ponemon Institute ottobre 2015
Parte 1. Executive Summary
Siamo lieti di presentare lo Studio sul costo della criminalità informatica 2015: Studio globale,
sponsorizzato da Hewlett Packard Enterprise. Lo studio di quest’anno si basa su un campione
rappresentativo di 252 organizzazioni in sette paesi.
Ponemon Institute ha condotto il primo Studio sul costo della criminalità informatica negli
Stati Uniti sei anni fa. Questo è il quarto anno in cui abbiamo condotto lo studio in Regno Unito,
Germania, Australia e Giappone e il secondo anno in cui la ricerca è stata effettuata nella
Federazione Russa. Quest’anno abbiamo aggiunto il Brasile. I risultati rilevati nei sette paesi
sono stati presentati in rapporti separati.
Il numero di attacchi informatici compiuti
contro governi mondiali e imprese
commerciali continua a crescere in
frequenza e sicurezza. Al fine di combattere
la crescente criminalità informatica, di
recente è stata fondata la Global Cyber
Alliance (GCA), un’organizzazione
internazionale e intersettoriale volta ad
affrontare, risolvere e prevenire le attività
cibernetiche maligne. Tra i partner che si
sono uniti all’Alliance rientrano i leader di sicurezza, difesa, retail, sanità, assicurazioni, energia,
aviazione, istruzione, forze dell’ordine, istituzioni governative e finanziarie, comprese American
Express, Barclays Bank, Citibank, US Bank e Financial Services ISAC.1
Ai fini del presente studio, per attacchi informatici si intende l’attività criminale condotta via Internet. Tali
attacchi possono includere il furto della proprietà intellettuale di un’organizzazione, la confisca di conti
bancari online, la creazione e la distribuzione di virus su altri computer, la pubblicazione di informazioni
aziendali riservate su Internet e la compromissione dell’infrastruttura nazionale critica di un paese.
Il nostro obiettivo è quello di quantificare l’impatto economico degli attacchi informatici e osservare
i trend dei costi nel corso del tempo. Riteniamo che una migliore comprensione dei costi della
criminalità informatica aiuterà le organizzazioni a definire il giusto livello di investimento e di
risorse necessarie al fine di prevenire o mitigare le conseguenze di un attacco.
In base alla nostra esperienza, un approccio d’indagine tradizionale non coglie i necessari dettagli
richiesti per estrapolare i costi dei crimini informatici. Pertanto, effettuiamo ricerche sul campo
che comprendono sondaggi tra il personale dirigenziale riguardo gli incidenti effettivi legati alla
criminalità informatica presso le loro organizzazioni. Sono necessari circa 10 mesi di sforzi per
reclutare le aziende, costruire un modello di costo basato sulle attività per analizzare i dati, raccogliere
le informazioni alla fonte e completare l’analisi.
Ai fini della coerenza, il nostro campione di riferimento consiste unicamente in organizzazioni
di dimensioni maggiori (ovvero, con un minimo di circa 1.000 terminali aziendali2). Lo studio analizza
i costi totali sostenuti dalle organizzazioni per far fronte a incidenti di criminalità informatica.
Questi includono i costi per il rilevamento, il recupero, le indagini e la gestione della risposta
agli incidenti. Inoltre sono compresi i costi che comportano attività post-evento e impegno per
il contenimento dei costi aggiuntivi derivanti dall’interruzione delle attività e dalla perdita di clienti.
Tali costi non comprendono le varie spese e investimenti effettuati al fine di supportare l’approccio alla
sicurezza dell’organizzazione o la sua conformità con normative, politiche e regolamenti.
1
“È nata la Global Cyber Alliance, con l’obiettivo di combattere il crescente cybercrimine”, di Ryan Daws,
TelecomsTech, 16 settembre 2015
2
I terminali aziendali si riferiscono al numero di collegamenti diretti alla rete e ai sistemi aziendali.
Studio globale in sintesi
252 aziende in 7 paesi
2.128 sondaggi tra il personale dell’azienda
1.928 attacchi totali utilizzati per misurare il costo totale
Il costo medio annualizzato è pari a USD7,7 milioni
1,9 percento di aumento netto nello scorso anno
15 percento di ROI medio per 7 tecnologie di sicurezza
3. Rapporto di ricerca Ponemon Institute Pagina 2
Studio globale in sintesi
Lo studio annuale di quest’anno è stato condotto in Stati Uniti, Regno Unito, Germania, Australia,
Giappone, Federazione Russa e, per la prima volta, Brasile, con un campione di riferimento totale
di 252 organizzazioni. I risultati specifici dei vari paesi sono stati presentati in sette rapporti distinti.
La Figura 1 presenta il costo medio stimato della criminalità informatica per sette campioni dei paesi,
riguardanti 252 diverse aziende, in confronto alle medie dei paesi relative all’anno scorso. Le cifre
dei costi sono state convertite in dollari USA a scopo di comparazione.3
Come illustrato, il costo totale della criminalità informatica presenta un’importante variazione tra
le aziende che hanno preso parte al campione di riferimento. Il campione statunitense riporta il
costo medio totale superiore, con USD15 milioni, mentre il campione russo si attesta come quello
inferiore, con USD2,4 milioni. È interessante notare, inoltre, che Germania, Giappone, Australia
e Russia sono stati testimoni di una leggera riduzione del costo della criminalità informatica nello
scorso anno. Tuttavia, questo risultato deriva dalle differenze dei tassi di cambio rispetto all’anno
scorso, dovute a una forte posizione del dollaro USA rispetto ad altre divise locali. Pertanto, con
i dovuti adattamenti delle differenze dei tassi di cambio, notiamo effettivamente un incremento
netto dei costi totali della criminalità informatica in tutti i paesi. La variazione percentuale netta
tra l’esercizio finanziario 2015 e 2014 in dollari USA (a eccezione del Brasile) è dell’1,9 percento.
Figura 1. Costo totale della criminalità informatica in sette paesi
Costo espresso in dollari USA (000.000), n = 252 singole aziende
* I risultati non sono stati disponibili per tutti gli esercizi finanziari
3
Tassi di conversione valutari del 14 settembre 2015 di The Wall Street Journal.
$2.37
$3.47
$3.85
$6.32
$6.81
$7.50
$15.42
$3.33
$3.99
$5.93
$6.91
$8.13
$12.69
$3.67
$4.72
$6.73
$7.56
$11.56
$- $2.00 $4.00 $6.00 $8.00 $10.00 $12.00 $14.00 $16.00 $18.00
Russia*
Australia
Brasile*
Regno Unito
Giappone
Germania
Stati Uniti
Esercizio 2013 Esercizio 2014 Esercizio 2015
4. Rapporto di ricerca Ponemon Institute Pagina 3
La Figura 2 riassume la variazione netta dei costi della criminalità informatica tra il 2014 e il 2015,
misurata nelle divise locali. Come si può notare, l’incremento più significativo del costo della criminalità
informatica si verifica in Russia e negli Stati Uniti, rispettivamente con il 29 e il 19 percento. Con
l’8 percento, la Germania riporta l’incremento minore del costo annuo totale.
Figura 2. Variazione netta su un anno nella criminalità informatica in sei paesi
Non è stato possibile calcolare la variazione netta per il Brasile
n = 252 singole aziende
8%
13%
14%
14%
19%
29%
0% 5% 10% 15% 20% 25% 30% 35%
Germania
Australia
Regno Unito
Giappone
Stati Uniti
Russia
5. Rapporto di ricerca Ponemon Institute Pagina 4
Riassunto dei risultati globali
A seguire sono riportati i risultati principali per un campione di 252 organizzazioni che ha richiesto
2.128 sondaggi separati per la raccolta dei risultati dei costi della criminalità informatica. In vari
punti di questo rapporto, effettuiamo un confronto tra i risultati attuali e la media dell’anno scorso
degli studi di riferimento.
La criminalità informatica continua a essere in crescita per le organizzazioni. Abbiamo
rilevato che il costo medio annualizzato per le 252 organizzazioni di riferimento è pari a USD7,7
milioni all’anno, con un range che spazia da USD0,31 milioni a USD65 milioni. Il costo medio relativo
allo scorso anno si attestava a USD7,6 milioni, o a una variazione netta dell’1,9 percento dopo gli
adattamenti relativi alle differenze di valuta (a eccezione del campione brasiliano). Come illustrato
nella Figura 2, la variazione netta su un anno misurata nelle divise locali è pari al 13,9 percento.
Il costo della criminalità informatica varia in base alle dimensioni organizzative. I risultati
rivelano un rapporto positivo tra le dimensioni organizzative (misurate dai terminali aziendali) e
il costo annualizzato.4 Tuttavia, sulla base dei terminali aziendali, abbiamo stabilito che le piccole
organizzazioni sostengono un costo pro capite decisamente superiore alle organizzazioni di maggiori
dimensioni (USD1.388 rispetto a USD431).
Tutti i settori sono vittime della criminalità informatica, ma in gradi diversi. Il costo medio
annualizzato della criminalità informatica sembra variare per segmento industriale, dove le
organizzazioni di servizi finanziari e servizi pubblici ed energia sostengono costi della criminalità
cibernetica decisamente superiori rispetto alle organizzazioni che operano nel settore sanitario,
automobilistico e agricolo, scienze biologiche e assistenza sanitaria.
I crimini informatici più costosi sono quelli provocati da personale interno malintenzionato,
Denial of Service e attacchi basati sul Web. La mitigazione di tali attacchi richiede l’attivazione
di tecnologie come SIEM, sistemi di prevenzione delle violazioni, soluzioni di test della sicurezza
delle applicazioni e soluzioni di GRC aziendale.
Gli attacchi cibernetici possono diventare costosi se non vengono risolti in tempi rapidi.
I risultati mostrano un rapporto positivo tra il tempo necessario a contenere un attacco e il costo
organizzativo. Si tenga presente che per risoluzione non si intende necessariamente un completo
arresto dell’attacco. Ad esempio, alcuni attacchi rimangono latenti e non vengono rilevati (come
nel caso degli attacchi moderni). Il numero medio di giorni necessari a risolvere gli attacchi informatici
è di 46 giorni, con un costo medio di USD21.155 al giorno, o un costo totale di USD973.130 nel
corso del periodo di risanamento di 46 giorni.
Le interruzioni aziendali rappresentano il costo esterno maggiore, seguite dai costi relativi
alla perdita di informazioni.5
Su base annualizzata, le interruzioni aziendali sono responsabili
del 39 percento dei costi esterni totali, compresi i costi associati ai problemi dei processi aziendali
e alla perdita di produttività dei dipendenti.
Il rilevamento rappresenta l’attività interna più costosa, seguita dal risanamento. Su base
annualizzata, i costi combinati di rilevamento e risanamento costituiscono il 53 percento del costo
totale dell’attività interna, con la perdita di produttività e la manodopera diretta che rappresentano
la maggior parte di tali costi.
Le attività relative alla sicurezza IT a livello di rete ricevono la maggior parte della
dotazione finanziaria. Al contrario, il livello host riceve il grado inferiore di finanziamenti.
4
Nel presente studio, per terminale aziendale si intende un’identificazione/dispositivo dell’utente finale
collegato alle reti centrali o ai sistemi aziendali di un’impresa.
5
Nell’ambito del presente studio, per costo esterno si intende il costo generato da fattori esterni, come multe,
controversie, commerciabilità di proprietà intellettuale rubata e altro.
6. Rapporto di ricerca Ponemon Institute Pagina 5
Lo sviluppo dei sistemi di intelligence di sicurezza fa la differenza. Il costo della criminalità
informatica è mitigato dall’utilizzo di sistemi di intelligence di sicurezza (inclusi SIEM). I risultati
suggeriscono che le aziende che utilizzano tecnologie di intelligence di sicurezza sono più efficienti
nel rilevamento e nel contenimento degli attacchi informatici. Di conseguenza, queste aziende
hanno goduto di una media di USD1,9 milioni di risparmio sui costi rispetto alle aziende che non
hanno implementato tecnologie di intelligence di sicurezza.
Le aziende che implementano sistemi di intelligence di sicurezza sono state testimoni di
un ROI decisamente superiore (attestato al 23%) rispetto a tutte le altre categorie di tecnologia
presentate. Sono inoltre significativi i risultati delle stime del ROI per le aziende che fanno ampio
uso delle tecnologie di crittografia (21%) e di controlli perimetrali avanzati, come UTM, NGFW,
IPS con feed di reputazione (20%).
Lo sviluppo delle pratiche di governance della sicurezza aziendale mitiga il costo della
criminalità informatica. Le aziende che impiegano personale esperto hanno un risparmio medio sui
costi della criminalità informatica pari a USD1,5 milioni e quelle che nominano un leader della sicurezza
di alto livello riducono i costi di una media di USD1,3 milioni. Si tenga presente che questi risparmi dei
costi estrapolati sono indipendenti gli uni dagli altri e non possono essere sommati.
7. Rapporto di ricerca Ponemon Institute Pagina 6
Parte 2. Risultati chiave
In questa sezione forniamo un’analisi dei risultati chiave organizzati in base ai seguenti argomenti:
Il costo medio della criminalità informatica per dimensioni organizzative e settore
Il tipo di attacco influisce sul costo della criminalità informatica
Un’analisi dei componenti dei costi della criminalità informatica
Il costo medio della criminalità informatica per dimensioni organizzative e settore
Per determinare il costo medio della criminalità informatica, alle 252 organizzazioni coinvolte nello
studio è stato chiesto di segnalare la loro spesa per la gestione dei crimini cibernetici sostenuta nel
corso di quattro settimane consecutive. Una volta compilati e validati i costi relativi al periodo
di quattro settimane, tali cifre sono state estrapolate per determinare il costo annualizzato.6
Come illustrato nella Figura 3, il costo annualizzato totale della criminalità informatica relativo
al 2015 è compreso tra un minimo di USD31 milioni e un massimo di USD65 milioni. Il costo
annualizzato mediano della criminalità informatica nel campione di riferimento è pari a USD5,5 milioni:
una leggera riduzione rispetto ai USD6 milioni del 2014. Il valore medio è di USD7,7 milioni. Una
leggera riduzione rispetto alla media dell’anno scorso di USD7,8 milioni. La variazione netta
percentuale dallo scorso anno per i sette paesi è pari all’1,9 percento.
Figura 3. Il costo della criminalità informatica
Visione consolidata, n = 252 singole aziende
Costo espresso in dollari USA
6
Di seguito la statistica estrapolata: Fatturato annualizzato = [stima di costo]/[4/52 settimane].
$307,800
$5,533,432
$7,721,552
$65,047,302
$567,316
$6,021,893
$7,574,791
$60,525,947
$373,387
$5,479,234
$7,217,030
$58,095,571
$- $15,000,000.00 $30,000,000.00$45,000,000.00$60,000,000.00 $75,000,000.00
Minimo
Mediano
Medio
Massimo
Esercizio 2013 Esercizio 2014 Esercizio 2015
8. Rapporto di ricerca Ponemon Institute Pagina 7
La Figura 4 riporta la distribuzione del costo annualizzato totale per 252 aziende. Come si può notare,
90 aziende del nostro campione hanno sostenuto costi totali superiori al valore medio di USD7,7 milioni,
indicando pertanto una distribuzione disomogenea. La stima superiore del costo di USD65 milioni
non è risultata come valore aberrante sulla base di ulteriori analisi. Un totale di 162 organizzazioni
ha sostenuto un costo annualizzato totale della criminalità informatica inferiore al valore medio.
Figura 4. Costo annualizzato totale della criminalità informatica per le 252 aziende partecipanti
Costo espresso in dollari USA
Come parte della nostra analisi, abbiamo calcolato un intervallo di precisione per il costo medio
di USD7,7 milioni. Lo scopo di tale intervallo è dimostrare che le nostre stime di costo dovrebbero
essere considerate come un range di possibili risultati, piuttosto che come un singolo valore o numero.
Il range di possibili stime di costo si espande a livelli sempre maggiori di sicurezza, come
illustrato nella Figura 5. In particolare, a un livello di sicurezza del 90 percento prevediamo
un range di costo compreso tra USD6,2 milioni e USD9,2 milioni.
Figura 5. Intervallo di precisione per il valore medio del costo annualizzato totale
Costo espresso in dollari USA
$65,047,302
$-
$10,000,000
$20,000,000
$30,000,000
$40,000,000
$50,000,000
$60,000,000
$70,000,000
Costo totale annualizzato Media
6,198,327 5,931,811
5,423,952
4,660,947
9,244,672 9,511,188
10,019,047
10,782,052
-
2,000,000
4,000,000
6,000,000
8,000,000
10,000,000
12,000,000
Intervallo di
precisione del 90%
Intervallo di
precisione del 95%
Intervallo di
precisione del 97,5%
Intervallo di
precisione del 99%
Minimo Medio Massimo
9. Rapporto di ricerca Ponemon Institute Pagina 8
Il costo della criminalità informatica varia in base alle dimensioni organizzative. Come
illustrato nella Figura 6, le dimensioni organizzative, misurate dal numero di terminali o nodi aziendali,
è positivamente correlato al costo annualizzato della criminalità informatica. Tale correlazione positiva
è indicata dalla curva di regressione con tendenza verso l’alto. Il numero di terminali spazia da un
minimo di 673 a un massimo di 79.367.
Figura 6. Costo annualizzato in ordine crescente per numero di terminali aziendali
Costo espresso in dollari USA
Le organizzazioni sono collocate in uno dei quattro quartili in base al numero totale dei loro terminali
aziendali (che utilizziamo come surrogato delle dimensioni). Questo per spiegare in modo più
preciso il rapporto tra le dimensioni organizzative e il costo della criminalità informatica. La Tabella 1
mostra il costo medio quartile della criminalità informatica per tre anni. In ogni quartile si trovano
circa 63 aziende.
Tabella 1: Analisi quartile
Costo espresso in dollari USA
Esercizio 2015
(n=252)
Esercizio 2014
(n=257)
Esercizio 2013
(n=234)
Quartile 1 (inferiore) 3.279.376 2.967.723 2.965.464
Quartile 2 5.246.519 5.107.532 4.453.688
Quartile 3 8.987.450 8.321.024 6.659.478
Quartile 4 (superiore) 13.372.861 13.805.529 14.707.980
La Tabella 2 riporta il costo medio per terminale aziendale (ovvero il costo pro capite) compilato
per quattro quartili, da quello inferiore (Quartile 1) a quello superiore (Quartile 4). In linea con gli
anni precedenti, il costo pro capite medio relativo al 2015 per le organizzazioni con il minor numero
di terminali aziendali è circa tre volte superiore al costo pro capite medio per le organizzazioni
con il maggior numero di terminali (USD1.388 rispetto a USD431).
Tabella 2: Analisi quartile
Costo espresso in dollari USA
Costo per
terminale 2015
Costo per
terminale 2014
Costo per
terminale 2013
Quartile 1 (inferiore) USD1.555 USD1.601 USD1.388
Quartile 2 USD878 USD962 USD710
Quartile 3 USD709 USD726 USD532
Quartile 4 (superiore) USD368 USD437 USD431
-
10,000,000
20,000,000
30,000,000
40,000,000
50,000,000
60,000,000
70,000,000
Ordine crescente per numero di terminali aziendali (dimensioni)
Costo totale annualizzato Regressione
10. Rapporto di ricerca Ponemon Institute Pagina 9
Determinati attacchi sono più costosi a seconda delle dimensioni organizzative. Lo studio
è incentrato su nove diversi vettori di attacco come fonte del crimine cibernetico. Nella Figura 7,
confrontiamo le organizzazioni più piccole e quelle di maggiori dimensioni in base alla mediana
del campione di 8.703 terminali. Le organizzazioni più piccole (al di sotto della mediana) sostengono
una proporzione maggiore di costi legati alla criminalità informatica in relazione ad attacchi basati
sul Web, phishing e social engineering, malware, virus, worms, cavalli di Troia (Trojan horse) e botnet.
Per contrasto, le organizzazioni di maggiori dimensioni (sopra la mediana) sostengono una proporzione
superiore di costi relativi ad attacchi di tipo Denial of Service, personale interno malintenzionato,
codici maligni e furti di dispositivi. Nel contesto di questa ricerca, il personale interno malintenzionato
include dipendenti, dipendenti temporanei, appaltatori e, possibilmente, altri business partner.
Inoltre facciamo distinzione tra virus e malware. I virus risiedono sul terminale e, diversamente
dai malware, non hanno ancora infiltrato la rete. I codici maligni colpiscono il livello dell’applicazione
e includono gli attacchi SQL.
Figura 7. Le dimensioni organizzative influiscono sui costi di gestione di nove tipi di attacchi
Dimensioni misurate in base al numero di terminali aziendali all’interno delle organizzazioni partecipanti
Visione consolidata, n = 252 singole aziende
3%
9%
9%
10%
10%
13%
13%
18%
15%
4%
8%
10%
12%
13%
11%
11%
12%
20%
0% 5% 10% 15% 20% 25% 30% 35% 40%
Botnet
Dispositivi rubati
Virus, worms, cavalli di Troia (Trojan horse)
Malware
Phishing e social engineering
Codice maligno
Personale interno malintenzionato
Denial of Service
Attacchi basati sul Web
Numero di terminali aziendali superiore alla mediana
Numero di terminali aziendali inferiore alla mediana
11. Rapporto di ricerca Ponemon Institute Pagina 10
Il costo della criminalità informatica influisce su tutti i settori. Il costo medio annualizzato
della criminalità informatica sembra variare per segmento industriale. Nello studio di quest’anno
confrontiamo i costi medi per 18 settori industriali diversi. Come illustrato nella Figura 8, le aziende
di servizi finanziari e servizi pubblici ed energia hanno sostenuto il costo annualizzato maggiore.
Al contrario, le aziende dei settori sanitario, automobilistico e agricolo hanno sostenuto un costo
medio molto minore.7
Figura 8. Costo annualizzato medio per settore industriale
Costo espresso in dollari USA, USD1.000.000 omesso
Visione consolidata, n = 252 singole aziende
7
Questa analisi è unicamente a scopo illustrativo. Le dimensioni del campione in vari settori sono troppo
ridotte per poter trarre conclusioni definitive riguardo le differenze di settore.
$1.97
$2.28
$2.35
$2.75
$3.15
$3.34
$3.89
$4.88
$4.90
$5.53
$5.65
$6.01
$6.61
$7.66
$7.93
$8.09
$12.80
$13.50
$0.00 $2.00 $4.00 $6.00 $8.00 $10.00 $12.00 $14.00 $16.00
Agricolo
Automobilistico
Sanitario
Farmaceutico
Media
Ospitalità
Istruzione e ricerca
Retail
Prodotti al consumo
Comunicazioni
Trasporti
Settore pubblico
Difesa
Industriale
Servizi
Tecnologia
Servizi pubblici ed energia
Servizi finanziari
12. Rapporto di ricerca Ponemon Institute Pagina 11
Il tipo di attacco cibernetico influisce sul costo della criminalità informatica
Nei nostri studi osserviamo 9 diversi vettori di attacco come fonte del crimine cibernetico.
Quest’anno, il campione di riferimento di 252 organizzazioni ha sostenuto un totale di 1.928
distinti attacchi informatici. L’elenco sottostante illustra il numero di attacchi avvenuti con successo
nei quattro anni scorsi, un numero che ha subito un costante aumento.
Esercizio 2015, 477 attacchi a 252 organizzazioni o 1,9 attacchi avvenuti con successo per
azienda alla settimana
Esercizio 2014, 429 attacchi a 257 organizzazioni o 1,7 attacchi avvenuti con successo per
azienda alla settimana
Esercizio 2013, 343 attacchi a 234 organizzazioni o 1,4 attacchi avvenuti con successo per
azienda alla settimana
Esercizio 2012, 262 attacchi a 199 organizzazioni o 1,3 attacchi avvenuti con successo per
azienda alla settimana
La Figura 9 riassume in percentuale i tipi di metodi di attacco sostenuti dalle aziende partecipanti.
Praticamente tutte le organizzazioni hanno sostenuto attacchi relativi a virus, worms e/o cavalli
di Troia (Trojan horse) e malware nel corso del periodo di riferimento di quattro settimane. Gli attacchi
malware e gli attacchi da codici maligni sono intrinsecamente legati. Abbiamo classificato gli attacchi
malware che hanno infiltrato con successo le reti delle organizzazioni o i sistemi aziendali come
attacchi da codici maligni.
Il 64 percento ha subito attacchi basati su Web, mentre il 62 percento attacchi di tipo phishing
e social engineering. Molte aziende hanno inoltre subito attacchi da codici maligni e botnet
(entrambi al 59%) e attacchi Denial of Service (51%). Solo il 35 percento delle aziende afferma
che l’origine del crimine informatico sia stato un membro del personale malintenzionato.
Figura 9. Tipi di attacchi subiti dalle 252 aziende di riferimento
Visione consolidata, n = 252 singole aziende
35%
45%
51%
59%
59%
62%
64%
98%
99%
0% 20% 40% 60% 80% 100% 120%
Personale interno malintenzionato
Dispositivi rubati
Denial of Service
Botnet
Codice maligno
Phishing e social engineering
Attacchi basati sul Web
Malware
Virus, worms, cavalli di Troia (Trojan horse)
13. Rapporto di ricerca Ponemon Institute Pagina 12
I costi variano significativamente in base al tipo di attacco cibernetico. La Figura 10 confronta
i risultati di riferimento per i sette paesi, illustrando la proporzione del costo annualizzato della
criminalità informatica allocato per i nove tipi di attacchi da parte di tutte le organizzazioni di riferimento.
I codici maligni rappresentano il problema più costoso per le aziende statunitensi. I paesi con
i costi più elevati in relazione agli attacchi Denial of Service sono il Regno Unito e l’Australia.
I malware hanno il costo più elevato nella Federazione Russa. Nella maggior parte dei paesi,
i botnet rappresentano il tipo di attacco meno costoso.
Figura 10. Costo annualizzato percentuale della criminalità informatica per tipo di attacco
Visione consolidata, n = 252 singole aziende
3%
4%
7%
9%
10%
12%
14%
16%
24%
2%
13%
12%
6%
6%
17%
21%
15%
8%
6%
11%
4%
10%
19%
21%
9%
13%
7%
4%
6%
13%
7%
9%
16%
9%
24%
12%
4%
9%
8%
10%
12%
19%
10%
17%
11%
3%
6%
6%
10%
12%
16%
14%
20%
13%
2%
12%
5%
18%
15%
18%
10%
9%
11%
Botnet
Virus, worms, cavalli di Troia (Trojan horse)
Dispositivi rubati
Malware
Personale interno malintenzionato
Attacchi basati sul Web
Phishing e SE
Denial of Service
Codice maligno
Stati Uniti Germania Giappone Regno Unito Brasile Australia Federazione Russa
14. Rapporto di ricerca Ponemon Institute Pagina 13
Sul costo della criminalità informatica influisce anche la frequenza degli attacchi. La Figura 11
illustra gli attacchi cibernetici, dal più costoso al meno costoso, in un’analisi basata sulla frequenza
degli incidenti. Gli attacchi più costosi sono quelli provocati da personale interno malintenzionato,
Denial of Service e attacchi basati sul Web.
Figura 11. Costo annualizzato medio ponderato della criminalità informatica per frequenza
degli attacchi
Visione consolidata, n = 252 singole aziende
$1,075
$1,900
$7,378
$33,565
$81,500
$85,959
$96,424
$126,545
$144,542
$0 $25,000 $50,000 $75,000 $100,000 $125,000 $150,000 $175,000
Botnet
Virus, worms, cavalli di Troia (Trojan horse)
Malware
Dispositivi rubati
Codice maligno
Phishing e SE
Attacchi basati sul Web
Denial of Service
Personale interno malintenzionato
15. Rapporto di ricerca Ponemon Institute Pagina 14
Il tempo impiegato per risolvere o contenere i crimini informatici fa aumentare i costi. Il
numero medio di giorni necessari a risolvere gli attacchi informatici è di 46 giorni, con un costo
medio di USD21.155 al giorno, o un costo totale di USD973.130 nel corso del periodo di risanamento
di 46 giorni. Si tenga presente che per risoluzione non si intende necessariamente un completo
arresto dell’attacco.Ad esempio, alcuni attacchi rimangono latenti e non vengono rilevati (come
nel caso degli attacchi moderni).
La Figura 12 illustra il costo annualizzato della criminalità informatica in ordine crescente in base
al numero medio di giorni necessari per risolvere gli attacchi. La curva di regressione mostra
una tendenza verso l’alto, che suggerisce una correlazione positiva tra le variabili di costo e tempo.
Figura 12. Costo annualizzato totale in base al numero di giorni necessari per il contenimento
dell’attacco
$-
$10,000,000
$20,000,000
$30,000,000
$40,000,000
$50,000,000
$60,000,000
$70,000,000
Ordine crescente in base al numero di giorni necessari
per il contenimento dell’attacco
Costo totale annualizzato Regressione
16. Rapporto di ricerca Ponemon Institute Pagina 15
Alcuni attacchi richiedono più tempo per la risoluzione e, di conseguenza, sono più costosi.
Come illustrato, il tempo necessario per risolvere le conseguenze degli attacchi fa aumentare
il costo di un crimine informatico.
La Figura 13 indica i giorni medi necessari per risolvere gli attacchi informatici, per i tipi di attacco
oggetto di questo rapporto. Dalla tabella risulta evidente che, in media, la risoluzione di attacchi
da parte di personale interno malintenzionato, codici maligni e perpetratori basati sul Web (hacker)
richiede la maggiore quantità di tempo. Malware, virus e botnet, in media, vengono risolti in tempi
relativamente rapidi (ovvero entro qualche giorno).
Figura 13. Alcuni attacchi richiedono più tempo per la risoluzione
Tempo medio stimato misurato per ogni tipo di attacco in giorni
Visione consolidata, n = 252 singole aziende
2.2
2.4
5.8
12.3
19.3
21.9
27.7
47.5
54.4
- 10.0 20.0 30.0 40.0 50.0 60.0
Botnet
Virus, worms, cavalli di Troia (Trojan horse)
Malware
Dispositivi rubati
Denial of Service
Phishing e social engineering
Attacchi basati sul Web
Codice maligno
Personale interno malintenzionato
17. Rapporto di ricerca Ponemon Institute Pagina 16
Un’analisi dei componenti dei costi della criminalità informatica
Il furto di informazioni rimane la conseguenza più costosa di un crimine informatico. In questa
ricerca osserviamo le quattro principali conseguenze di un attacco informatico: interruzioni delle
attività, perdita di informazioni, perdita di fatturato e danni all’attrezzatura.
Come illustrato nella Figura 14, tra le organizzazioni rappresentate nel presente studio, le interruzioni
delle attività rappresentano la componente di costo maggiore (39 percento). Il costo delle interruzioni
delle attività include la ridotta produttività dei dipendenti e i problemi dei processi aziendali che
si verificano a seguito di un attacco informatico. Seguono le perdite di informazioni e fatturato,
rispettivamente con il 35% e 21%.
Figura 14. Costo percentuale per conseguenze esterne
Visione consolidata, n = 252 singole aziende
39%
35%
21%
4%
2%
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
Interruzione
delle attività
Perdita di
informazioni
Perdita di
fatturato
Danni
all’attrezzatura
Altri costi
18. Rapporto di ricerca Ponemon Institute Pagina 17
Le aziende investono maggiormente nel rilevamento e nel recupero. Le attività di rilevamento
e recupero a seguito di un crimine informatico sono responsabili del 53 percento del costo totale
delle attività interne, come illustrato nella Figura 15. Seguono i costi di contenimento e indagine
(rispettivamente con il 16% e il 14%).
Gli elementi di costo per rilevamento e recupero evidenziano un’importante opportunità di riduzione
dei costi per le organizzazioni che sono in grado di gestire la ripresa in modo sistematico e di
implementare tecnologie di sicurezza in grado di aiutare a facilitare il processo di rilevamento.
Figura 15. Costo percentuale in base alle attività svolte per risolvere un attacco informatico
Visione consolidata, n = 252 singole aziende
La percentuale di costi annualizzati può essere ulteriormente suddivisa in cinque componenti
di spesa specifiche, che includono: perdita di produttività (34%), manodopera diretta (23%),
esborsi (17%), manodopera indiretta (15%) e spese generali (9%). I costi non inclusi in queste
componenti sono rappresentati nella categoria “Altro”.
Figura 16. Costo percentuale delle attività in base a cinque componenti di costo specifiche
Visione consolidata, n = 252 singole aziende
30%
23%
16%
14%
9%
7%
0%
5%
10%
15%
20%
25%
30%
35%
Rilevamento Recupero Contenimento Indagine Gestione degli
incidenti
Risposta ex
post
34%
23%
17%
15%
9%
2%
0%
5%
10%
15%
20%
25%
30%
35%
40%
Perdita di
produttività
Manodopera
diretta
Esborso Manodopera
indiretta
Spese
generali
Altro
19. Rapporto di ricerca Ponemon Institute Pagina 18
La porzione maggiore del budget di sicurezza è allocata al livello di rete. La Figura 17 riassume
sei livelli in una normale infrastruttura di sicurezza IT multi-layer per tutte le aziende di riferimento.
Ciascuna barra riflette la percentuale di spesa dedicata in base al livello presentato. Il livello di rete
riceve l’allocazione maggiore, con una percentuale del 30 percento dei finanziamenti di sicurezza IT
totali dedicati. Con solo l’8 percento, il livello host riceve il grado inferiore di finanziamenti.
Figura 17. Spesa prevista o stanziata in base a sei livelli di sicurezza IT
Visione consolidata, n = 252 singole aziende
Le organizzazioni che implementano tecnologie di intelligence di sicurezza ottengono un minore
costo annualizzato della criminalità informatica. La Figura 18 indica l’importo medio che le aziende
possono risparmiare con SEIM nelle sei attività svolte al fine di risolvere gli attacchi cibernetici. La figura
confronta le aziende che implementano sistemi di intelligence di sicurezza con quelle che non li
implementano. In totale, 110 aziende (44%) implementano strumenti di intelligence di sicurezza, come
SIEM, IPS con feed di reputazione, sistemi di intelligence di rete, analisi dei big data e altro.
Con una sola eccezione (costi di indagine), le aziende che utilizzano sistemi di intelligence di
sicurezza sostengono minori costi delle attività rispetto alle aziende che non fanno uso di tali
tecnologie. Le maggiori differenze di costo in milioni appartengono alle attività di rilevamento
(USD3,42 rispetto a USD2,50) e contenimento (USD1,01 rispetto a USD1,28).
Figura 18. Confronto dei costi delle attività e utilizzo delle tecnologie di intelligence di sicurezza
Costo espresso in dollari USA (000.000), n = 252 singole aziende
30%
19% 19%
13%
11%
8%
0%
5%
10%
15%
20%
25%
30%
35%
Livello di rete Livello delle
applicazioni
Livello dei dati Livello umano Livello fisico Livello host
$2.50
$2.11
$1.01
$1.22 $1.25
$0.37
$3.42
$2.32
$1.28 $1.30 $1.18
$0.86
$-
$0.50
$1.00
$1.50
$2.00
$2.50
$3.00
$3.50
$4.00
Rilevamento Recupero Contenimento Risposta ex post Indagine Gestione degli
incidenti
Implementa tecnologie di intelligence di sicurezza
Non implementa tecnologie di intelligence di sicurezza
20. Rapporto di ricerca Ponemon Institute Pagina 19
La Figura 19 mostra sette categorie di tecnologie di sicurezza in base a un sottoinsieme di aziende
di riferimento. Ciascuna barra rappresenta la percentuale di aziende che hanno pienamente
implementato ogni tecnologia di sicurezza data. Le prime tre categorie di tecnologia includono:
strumenti di controllo degli accessi (50%), sistemi di intelligence di sicurezza (44%) e tecnologie
di crittografia (43%).
Figura 19. Sette tecnologie di sicurezza implementate
Visione consolidata, n = 252 singole aziende
La Figura 20 illustra il denaro che le aziende possono risparmiare implementando ciascuna delle
sette tecnologie di sicurezza. Ad esempio, le aziende che implementano sistemi di intelligence
di sicurezza, in media, sostengono un sostanziale risparmio dei costi di USD1,9 milioni.
Analogamente, le aziende che implementano strumenti di controllo degli accessi sostengono
un risparmio medio dei costi di USD1,8 milioni. Si tenga presente che questi risparmi dei costi
estrapolati sono indipendenti gli uni dagli altri e non possono essere sommati.
Figura 20. Risparmi dei costi con l’implementazione delle sette tecnologie
Costo espresso in dollari USA. Visione consolidata, n = 252 singole aziende
26%
39%
40%
42%
43%
44%
50%
0% 10% 20% 30% 40% 50% 60%
Strumenti di gestione automatica delle politiche
Controlli perimetrali avanzati e tecnologie di firewall
Uso estensivo di strumenti di prevenzione delle
perdite di dati
Implementazione aziendale degli strumenti GRC
Implementazione estensiva delle tecnologie di
crittografia
Sistemi di intelligence di sicurezza
Strumenti di controllo degli accessi
$396,470
$813,557
$882,765
$1,573,427
$1,602,705
$1,789,024
$1,917,225
$- $1,000,000 $2,000,000 $3,000,000
Strumenti di gestione automatica delle politiche
Uso estensivo di strumenti di prevenzione delle
perdite di dati
Implementazione estensiva delle tecnologie di
crittografia
Controlli perimetrali avanzati e tecnologie di
firewall
Implementazione aziendale degli strumenti GRC
Strumenti di controllo degli accessi
Sistemi di intelligence di sicurezza
21. Rapporto di ricerca Ponemon Institute Pagina 20
I sistemi di intelligence di sicurezza presentano il maggior ritorno sull’investimento.
La Figura 21 riassume la stima del ritorno sull’investimento (ROI) ottenuto dalle aziende per
ciascuna delle sette categorie di tecnologie di sicurezza sopraindicate.8 Con il 23 percento,
le aziende che implementano sistemi di intelligence di sicurezza, in media, sono state testimoni
di un ROI decisamente superiore rispetto a tutte le altre categorie di tecnologia contenute nel
presente studio.
Sono inoltre significativi i risultati delle stime del ROI per le aziende che fanno ampio uso delle
tecnologie di crittografia (21%) e di controlli perimetrali avanzati, come UTM, NGFW, IPS con
feed di reputazione e altri ancora (20%). Il ROI medio stimato per tutte e sette le categorie
di tecnologie di sicurezza è del 15 percento.
Figura 21. ROI stimato per le sette categorie di tecnologie di sicurezza
Visione consolidata, n = 252 singole aziende
8
Il ritorno sull’investimento calcolato per ciascuna categoria di tecnologia di sicurezza è definito come:
(1) guadagni ottenuti dall’investimento divisi per (2) costo dell’investimento (meno l’eventuale valore
residuo). Stimiamo una durata triennale per tutte le categorie di tecnologia presentate. Pertanto, gli
investimenti vengono semplicemente ammortizzati nel corso dei tre anni. I guadagni sono costituiti dal
valore attuale netto dei risparmi previsti per la durata dell’investimento. Da tale importo sottraiamo le stime
conservative per i costi di operazioni e manutenzione ogni anno. Il valore attuale netto utilizza il tasso
primario più il tasso del 2% di sconto all’anno. Inoltre non abbiamo contemplato alcun valore residuo (zero).
6%
12%
12%
13%
20%
21%
23%
0% 5% 10% 15% 20% 25%
Strumenti di gestione automatica delle politiche
Implementazione aziendale degli strumenti GRC
Uso estensivo di strumenti di prevenzione delle
perdite di dati
Strumenti di controllo degli accessi
Controlli perimetrali avanzati e tecnologie di
firewall
Implementazione estensiva delle tecnologie di
crittografia
Sistemi di intelligence di sicurezza
22. Rapporto di ricerca Ponemon Institute Pagina 21
Alcune attività di governance possono ridurre il costo della criminalità informatica.
La Figura 22 mostra sette attività di governance aziendale effettuate da un sottoinsieme di aziende
di riferimento. Ciascuna barra rappresenta la percentuale di aziende che hanno pienamente
effettuato ciascuna attività di governance indicata. Le tre principali attività di governance sono:
impiego di personale di sicurezza esperto e nomina di un leader della sicurezza di alto livello
(entrambi al 57%). La maggior parte delle aziende inoltre effettua certificazioni rispetto agli
standard leader di settore (52%) e ottiene risorse pianificate sufficienti (51%)
Figura 22. Sette attività di governance della sicurezza aziendale implementate
Visione consolidata, n = 252 singole aziende
La Figura 23 illustra i risparmi di costi incrementali per ciascuna delle sette attività di governance
aziendale. Come illustrato, le aziende che impiegano personale esperto hanno un risparmio medio
sui costi della criminalità informatica pari a USD1,5 milioni e quelle che nominano un leader della
sicurezza di alto livello riducono i costi di una media di USD1,3 milioni. Si tenga presente che questi
risparmi dei costi estrapolati sono indipendenti gli uni dagli altri e non possono essere sommati.
Figura 23. Risparmi dei costi con l’esecuzione di sette attività di governance
della sicurezza aziendale
Costo espresso in dollari USA. Visione consolidata, n = 252 singole aziende
42%
45%
49%
51%
52%
57%
57%
0% 10% 20% 30% 40% 50% 60%
Uso estensivo delle metriche di sicurezza
Sostanziale formazione e attività di
consapevolezza
Formazione di un consiglio di sicurezza a
livello dirigenziale
Ottenimento di risorse di budget sufficienti
Certificazione in base agli standard leader di
settore
Nomina di un leader della sicurezza di alto
livello
Assunzione di personale di sicurezza
certificato/esperto
$549,620
$568,800
$876,504
$959,480
$1,150,951
$1,291,810
$1,458,736
$- $400,000 $800,000 $1,200,000 $1,600,000
Certificazione in base agli standard leader di
settore
Formazione di un consiglio di sicurezza a
livello dirigenziale
Uso estensivo delle metriche di sicurezza
Ottenimento di risorse di budget sufficienti
Sostanziale formazione e attività di
consapevolezza
Nomina di un leader della sicurezza di alto
livello
Assunzione di personale di sicurezza
certificato/esperto
23. Rapporto di ricerca Ponemon Institute Pagina 22
Parte 3. Quadro
Lo scopo della presente ricerca è quello di fornire una linea guida sul costo che un attacco
informatico di successo può comportare per un’organizzazione. Il nostro studio sul costo della
criminalità informatica è unico nell’analisi delle attività relative ai sistemi e ai processi aziendali
centrali che comportano una serie di spese associate alla risposta al crimine cibernetico da parte
di un’azienda. Nel presente studio, definiamo un attacco avvenuto con successo come un attacco
che termina con l’infiltrazione delle reti centrali o dei sistemi aziendali di un’impresa. Non include
l’intera gamma di attacchi arrestati dai sistemi di difesa firewall di un’azienda.
La Figura 24 presenta il quadro dei costi basati sulle attività utilizzato per il calcolo del costo
medio della criminalità informatica. Il nostro metodo di riferimento cerca di estrapolare le esperienze
e le conseguenze effettive degli attacchi informatici. Sulla base dei sondaggi rivolti a numerosi
alti dirigenti di ciascuna organizzazione, abbiamo classificato i costi in due diversi flussi di costo:
I costi relativi alla gestione del crimine informatico, o ciò che indichiamo come i centri di costo
interno delle attività.
I costi relativi alle conseguenze dell’attacco informatico, o ciò che indichiamo come le conseguenze
esterne dell’attacco informatico.
Figura 24. Quadro dei costi dei crimini informatici
Rilevamento
Indagine ed escalation
Contenimento
Recupero
Risposta ex post
Perdita o furto di informazioni
Interruzione delle attività
Danni all’attrezzatura
Perdita di fatturato
Costi diretti, indiretti
e opportunità
associati ai
crimini informatici
Centri di costo interno
delle attività
Conseguenze e
costi esterni
24. Rapporto di ricerca Ponemon Institute Pagina 23
Come illustrato sopra, analizziamo i centri di costo interno in modo sequenziale, partendo
dal rilevamento dell’incidente e terminando con la risposta finale o ex post all’incidente, che
prevede la gestione di opportunità aziendali perse e interruzioni delle attività. In ciascuno dei
centri di costo delle attività abbiamo chiesto ai partecipanti di fare una stima dei costi diretti,
costi indiretti e costi opportunità. Sono definiti nel modo seguente:
Costo diretto: l’esborso diretto per il conseguimento di una data attività.
Costo indiretto: la quantità di tempo, sforzo e altre risorse organizzative impiegati, ma non
in forma di esborso diretto.
Costo opportunità: il costo derivante dalle opportunità aziendali perse come conseguenza
di un calo della reputazione a seguito dell’incidente.
I costi esterni, inclusi perdita di risorse di informazioni, interruzione delle attività, danni all’attrezzatura
e perdita di fatturato, sono stati raccolti utilizzando metodi di “costi ombra”. I costi totali sono stati
allocati a nove distinti vettori di attacco: virus, worms, cavalli di Troia (Trojan horse); malware; botnet;
attacchi basati sul Web; phishing e social engineering; personale interno malintenzionato; dispositivi
rubati o danneggiati; codici maligni (inclusa SQL injection); e Denial of Service.9
Il presente studio analizza le attività relative ai processi centrali che comportano una serie di spese
associate agli attacchi cibernetici di un’azienda. I cinque centri di costo interno delle attività del
nostro quadro includono:10
Rilevamento: Attività che consentono a un’organizzazione di rilevare e possibilmente impedire
in modo ragionevole gli attacchi informatici o le minacce avanzate. Ciò include i costi
(spese generali) allocati di determinate tecnologie per il potenziamento della mitigazione
o del rilevamento precoce.
Indagine ed escalation: Attività necessarie a svelare in modo accurato l’origine, l’ambito
e la portata di uno o più incidenti. L’attività di escalation include anche le misure intraprese
per organizzare una risposta di gestione iniziale.
Contenimento: Attività incentrate sull’arresto o la riduzione della gravità degli attacchi
informatici o delle minacce avanzate. Queste includono la chiusura di vettori di attacco
ad alto rischio, come applicazioni o endpoint non sicuri.
Recupero: Attività legate alla riparazione e al ripristino dei sistemi dell’organizzazione e dei
processi aziendali centrali. Queste includono il ripristino di risorse di informazioni danneggiate
e altre risorse IT (centri di dati).
Risposta ex post: Attività volte ad aiutare l’organizzazione a minimizzare i potenziali attacchi
futuri. Includono i costi di contenimento delle interruzioni delle attività e delle perdite di informazioni,
oltre all’aggiunta di nuove tecnologie e sistemi di controllo.
Oltre alle attività relative ai processi sopraindicate, le organizzazioni spesso subiscono conseguenze
o costi esterni associati ai postumi degli attacchi avvenuti con successo, definiti come gli attacchi che
riescono a infiltrare la rete o i sistemi aziendali dell’organizzazione. Pertanto, la nostra ricerca dimostra
che quattro attività di costo generali associate a tali conseguenze esterne sono le seguenti:
Costo delle perdite o dei furti di informazioni: Perdita o furto di informazioni sensibili o riservate
a seguito di un attacco informatico. Tali informazioni includono segreti commerciali, proprietà
intellettuali (compresi i codici sorgente), informazioni sulla clientela e record dei dipendenti.
9
Riconosciamo che queste nove categorie di attacchi non sono interdipendenti e che non costituiscono un
campione esaustivo. La classificazione di un dato attacco è stata effettuata dal ricercatore e deriva dai fatti
raccolti durante la procedura di benchmarking.
10
I costi interni sono stati estrapolati utilizzando la manodopera (tempo) come surrogato dei costi diretti
e indiretti. È stata anche utilizzata per l’allocazione di una componente di spesa generale per i costi fissi,
come investimenti pluriennali nelle tecnologie.
25. Rapporto di ricerca Ponemon Institute Pagina 24
Tale categoria di costo comprende anche il costo delle notifiche di violazione dei dati
nel caso in cui vengano indebitamente acquisite informazioni personali.
Costo delle interruzioni delle attività: L’impatto economico del periodo di inattività o di
interruzioni non programmate che impediscono all’organizzazione di raggiungere i propri
requisiti di elaborazione dei dati.
Costo dei danni all’attrezzatura: Il costo per il ripristino dell’attrezzatura e altre risorse IT a
seguito di un attacco informatico alle risorse di informazioni e all’infrastruttura fondamentale.
Perdita di fatturato: La perdita di clienti (abbandono) e altri stakeholder a causa di ritardi o
guasti di sistema derivanti da un attacco informatico. Per estrapolare tale costo utilizziamo
un metodo di “costi ombra” che si basa sul Lifetime Value di un cliente medio, come definito
per ciascuna organizzazione partecipante.
Parte 4. Benchmarking
Lo strumento di benchmarking del costo della criminalità informatica è progettato per raccogliere
informazioni descrittive da IT, sicurezza delle informazioni e altri individui chiave riguardo i costi
effettivi sostenuti in modo diretto o indiretto a seguito di attacchi informatici effettivamente rilevati.
Il nostro metodo di costo non richiede che i soggetti forniscano gli effettivi risultati contabili ma si
fonda su stime ed estrapolazioni di dati dei sondaggi relativi a un periodo di quattro settimane.
La stima dei costi si basa su sondaggi diagnostici riservati con partecipanti chiave all’interno di
ciascun’organizzazione di riferimento. La Tabella 3 riporta la frequenza degli individui che hanno
preso parte allo studio globale di quest’anno in base alla loro disciplina funzionale approssimativa.
Come si può notare, lo studio di quest’anno su sette paesi ha compreso un totale di 2.128 sondaggi
per le 252 aziende di riferimento.11
Tabella 3. Aree funzionali dei partecipanti intervistati Freq. Percent.%
Sicurezza IT 377 18%
Operazioni IT 366 17%
Conformità 211 10%
Gestione dei centri di dati 187 9%
Contabilità e finanza 124 6%
Operazioni di rete 121 6%
Legale 113 5%
Gestione dei rischi IT 93 4%
Sicurezza fisica/Gestione strutture 90 4%
Risorse umane 86 4%
Audit interno o IT 80 4%
Sviluppo delle applicazioni 64 3%
Gestione dei rischi aziendali 62 3%
Gestione approvvigionamento/fornitori 61 3%
Sistemi di controllo industriale 51 2%
Garanzia di qualità 42 2%
Totale 2.128
Sondaggi per azienda in media 8,44
11
Lo studio dell’anno scorso ha coinvolto 2.081 individui per una media di 8,1 sondaggi per ciascun’azienda
di riferimento.
26. Rapporto di ricerca Ponemon Institute Pagina 25
I metodi di raccolta dei dati non comprendono le effettive informazioni di contabilità ma si fondano sulla
stima numerica basata sulle conoscenze e le competenze di ciascun partecipante. All’interno
di ciascuna categoria, il processo di stima dei costi si è sviluppato in due fasi. Dapprima lo strumento
di benchmarking ha richiesto agli individui una valutazione delle stime dei costi diretti per ciascuna
categoria di costo, contrassegnando una variabile di range definita nel seguente formato di
linea numerica.
Come utilizzare la linea numerica: La linea numerica fornita per ciascuna categoria di costo delle violazioni
dei dati costituisce un modo per ottenere la migliore stima dell’importo di esborsi, costi di manodopera
e spese generali sostenute. Contrassegnate un solo punto in una posizione compresa tra i limiti inferiore
e superiore definiti sopra. Potete ripristinare i limiti inferiore e superiore della linea numerica in qualsiasi
momento durante il processo di sondaggio.
Pubblicate qui la vostra stima dei costi diretti per [categoria di costo presentata]
Limite
inf. ______________________________________|_____________________________
Limite
sup.
Il valore numerico ottenuto dalla linea dei numeri piuttosto che da una stima del punto per ciascuna
categoria di costo presentata ha permesso di conservare la riservatezza e ha garantito un tasso
di risposta più elevato. Lo strumento di benchmarking ha richiesto inoltre agli operatori di fornire
una seconda stima per i costi indiretti e opportunità separatamente.
Per ciascuna organizzazione sono state poi compilate stime dei costi sulla base della grandezza
relativa di tali costi in confronto a un costo diretto all’interno di una categoria data. Infine, abbiamo
posto domande generali per ottenere informazioni aggiuntive, comprese le perdite di fatturato
stimate a seguito del crimine informatico.
Le dimensioni e l’ambito degli elementi del sondaggio sono stati limitati alle categorie di costo
conosciute che spaziano attraverso diversi settori industriali. Nella nostra esperienza, un sondaggio
incentrato sui processi ottiene un tasso di risposta più elevato e una migliore qualità dei risultati.
Abbiamo inoltre utilizzato uno strumento cartaceo, anziché un sondaggio elettronico, per fornire
maggiori garanzie di riservatezza.
Per mantenere una completa riservatezza, lo strumento del sondaggio non ha raccolto alcun
tipo di informazioni specifiche sulle aziende. I materiali in oggetto non contenevano alcun
codice di tracciamento o altri metodi che potessero permettere il collegamento delle risposte
alle aziende partecipanti.
Abbiamo limitato accuratamente gli elementi alle sole attività di costo che abbiamo ritenuto
fondamentali per la misurazione del costo della criminalità informatica, al fine di mantenere
gestibili le dimensioni dello strumento di benchmarking. Sulla base delle discussioni con gli
esperti, il set finale di elementi è stato incentrato su una serie limitata di attività di costi diretti
o indiretti. Dopo la raccolta delle informazioni di riferimento, ciascuno strumento è stato accuratamente
analizzato in termini di coerenza e completezza. Nell’ambito del presente studio, alcune aziende
sono state scartate a causa di risposte incomplete, incoerenti o vuote.
Le ricerche sul campo sono state effettuate nel corso di diversi mesi e si sono concluse in agosto
2015. Al fine di preservare la coerenza per tutte le aziende di riferimento, le informazioni raccolte
sull’esperienza in fatto di crimini informatici da parte delle organizzazioni sono state limitate a quattro
settimane consecutive. Questo intervallo di tempo non ha coinciso necessariamente per tutte le
organizzazioni che hanno partecipato allo studio. I costi diretti, indiretti e opportunità della criminalità
informatica estrapolati sono stati annualizzati dividendo il costo totale pervenuto per quattro
settimane (rapporto = 4/52 settimane).
27. Rapporto di ricerca Ponemon Institute Pagina 26
Parte 5. Campione di riferimento
Il reclutamento per lo studio annuale ha avuto inizio con una lettera personalizzata e una successiva
telefonata a 1.502 contatti per una possibile partecipazione e 252 organizzazioni hanno concesso
a Ponemon Institute di effettuare l’analisi di riferimento.
Il Diagramma circolare 1 riassume l’attuale (esercizio 2015) campione di aziende partecipanti
sulla base di 18 classificazioni del settore primario12. Come si può notare, i servizi finanziari (16%)
rappresentano il segmento maggiore. Essi includono società di retail banking, assicurazioni,
brokeraggio ed emittenti di carte di credito. Il secondo e terzo dei segmenti maggiori includono
industria (12%) e tecnologia (11%). Il segmento della tecnologia comprende le aziende
di software e gestione IT.
Diagramma circolare 1. Settori industriali delle organizzazioni partecipanti
Visione consolidata, n = 252 singole aziende
12
La categoria “Altro” include i settori automobilistico, farmaceutico, agricolo e della difesa
16%
12%
11%
11%10%
9%
7%
6%
4%
3%
3%
2%
2% 2% 3% Servizi finanziari
Industriale
Tecnologia
Settore pubblico
Servizi
Retail
Prodotti al consumo
Servizi pubblici ed energia
Trasporti
Sanitario
Media
Comunicazioni
Istruzione e ricerca
Ospitalità
Altro
28. Rapporto di ricerca Ponemon Institute Pagina 27
Il Diagramma circolare 2 indica la frequenza percentuale delle aziende sulla base del numero
di terminali aziendali connessi a reti o sistemi. La nostra analisi del costo della criminalità informatica
riguarda unicamente le organizzazioni con un numero approssimativo minimo di 600 terminali.
Il numero maggiore di terminali aziendali nello studio globale 2015 supera la quota di 79.000.
Diagramma circolare 2. Distribuzione delle organizzazioni partecipanti per terminali
aziendali (dimensioni)
Visione consolidata, n = 252 singole aziende
12%
18%
25%
20%
14%
12%
< 2.000
Da 2.000 a 5.000
Da 5.001 a 10.000
Da 10.001 a 15.000
Da 15.001 a 25.000
> 25.000
29. Rapporto di ricerca Ponemon Institute Pagina 28
Parte 6. Limitazioni e conclusioni
Il presente studio utilizza un metodo di benchmarking riservato e proprietario, implementato con
successo nelle precedenti ricerche di Ponemon Institute. Tuttavia, vi sono limitazioni inerenti alla
ricerca di benchmarking che devono essere tenute attentamente in considerazione prima di trarre
eventuali conclusioni dai risultati.
Risultati non statistici: Lo scopo del presente studio è descrittivo, piuttosto che di inferenza
normativa. Il presente studio si basa su un campione rappresentativo, non statistico, di
organizzazioni, principalmente di grandi dimensioni, che hanno subito uno o più attacchi
informatici nel corso di un periodo di quattro settimane. Data la natura del nostro piano di
campionamento, non è possibile applicare a tali dati inferenze statistiche, margini di errore
e intervalli di sicurezza.
Non risposta: Gli attuali risultati si basano su un piccolo campione rappresentativo di casi
di studio completati. Sono state inviate lettere iniziali relative al sondaggio di benchmarking
a un gruppo target di organizzazioni che si presumeva avessero subito uno o più attacchi
informatici. Un totale di 252 aziende ha fornito sondaggi di riferimento utilizzabili. La distorsione
causata dalle mancate risposte non è stata testata, pertanto esiste la possibilità che le aziende
che non hanno partecipato siano sostanzialmente diverse in termini di metodi utilizzati per
la gestione del processo di contenimento e recupero dei crimini informatici, così come dei
costi inerenti.
Distorsione causata dal quadro di campionamento: Dal momento che il nostro quadro di
campionamento è discrezionale, sulla qualità dei risultati influisce il grado di rappresentatività
della popolazione delle aziende oggetto dello studio. Noi riteniamo che l’attuale quadro di
campionamento presenti una distorsione verso le aziende dotate di programmi di sicurezza
delle informazioni più mature.
Informazioni specifiche dell’azienda: Le informazioni di riferimento sono sensibili e riservate.
Pertanto, lo strumento attuale non contempla informazioni identificative delle aziende. Consente
inoltre agli individui di utilizzare variabili categoriche di risposta per la divulgazione delle informazioni
demografiche relative all’azienda e alle categorie industriali. La classificazione dei settori si fonda
sui risultati autodichiarati.
Fattori non misurati: Al fine di mantenere il sondaggio conciso e pertinente, si è deciso di
omettere altre importanti variabili dalle nostre analisi, come i principali trend e le caratteristiche
organizzative. In questa fase non è possibile stimare la misura in cui le variabili omesse possano
spiegare i risultati di benchmarking.
Risultati dei costi stimati. La qualità del sondaggio di ricerca si basa sull’integrità delle
risposte riservate ricevute dalle aziende. Sebbene sia possibile incorporare determinati
controlli e bilanci nel processo di sondaggio, non è possibile escludere completamente
la possibilità che i partecipanti non abbiano fornito risposte veritiere. Inoltre, l’utilizzo
di una tecnica di stima dei costi (definita come metodo dei “costi ombra”) anziché di dati
dei costi effettivi può comportare significative distorsioni nei risultati presentati.
30. Rapporto di ricerca Ponemon Institute Pagina 29
In caso di eventuali domande o commenti relativi al presente rapporto di ricerca o se desiderate
altre copie del documento (compresa l’autorizzazione a citare o riutilizzare questo rapporto),
contattateci per posta, telefono o e-mail:
Ponemon Institute LLC
All’attenzione di: Research Department
2308 US 31 North
Traverse City, Michigan 49629 USA
1.800.887.3118
research@ponemon.org
Ponemon Institute
Avanzamento della gestione responsabile delle informazioni
Ponemon Institute si dedica alla ricerca indipendente e alla formazione per l’avanzamento delle
pratiche di gestione responsabile delle informazioni e della privacy all’interno di aziende e organi
di governo. La nostra missione è effettuare studi empirici di alta qualità relativi a questioni critiche
che influenzano la gestione e la sicurezza delle informazioni sensibili su persone e organizzazioni.
In qualità di membri del Consiglio delle organizzazioni americane di ricerca mediante
sondaggi (Council of American Survey Research Organizations, CASRO), noi sosteniamo
rigorosi standard di riservatezza dei dati, privacy e ricerca etica. Non raccogliamo alcuna informazione
che possa identificare personalmente gli individui intervistati (o informazioni identificative delle aziende
nelle nostre ricerche aziendali). Inoltre, abbiamo implementato rigorosi standard di qualità, per garantire
che ai partecipanti ai nostri sondaggi non vengano poste domande non rilevanti, non pertinenti
o improprie.