Anche se molte aziende stanno investendo in sicurezza informatica indipendentemente dal ROI (il 63% nel 2017 rispetto al 56% del 2016), un nuovo studio di Kaspersky Lab e B2B International ha rilevato che il costo medio di un incidente di sicurezza informatica è in crescita.

Secondo il report IT Security: Cost-centre or Strategic Investment? le falle alla sicurezza informatica più costose per le aziende di qualsiasi dimensione derivano da errori di terze parti, il che significa che le aziende non dovrebbero soltanto investire nella propria sicurezza, ma anche prestare attenzione a quella dei loro partner.

Lo studio di quest’anno rivela una crescita promettente dell’importanza che le aziende danno alla sicurezza IT, ma il problema è che le risorse dedicate alla sicurezza stanno diminuendo. Per esempio, il budget medio di sicurezza IT nelle grandi aziende in termini assoluti è calato da 25,5 milioni di dollari dell’anno scorso a 13,7 milioni di dollari nel 2017.

Questa è una grande preoccupazione per le aziende, visto che a differenza dei budget in sicurezza IT i costi per la ripresa dalle violazioni alla sicurezza sono in aumento. Quest’anno le PMI hanno speso infatti una media di 87,8 mila dollari per incidenti sulla sicurezza rispetto agli 86,5 mila dollari del 2016, mentre le grandi aziende hanno affrontato un aumento ancora più grande di 992 mila dollari nel 2017, rispetto agli 861 mila dollari del 2016.

terze parti

Per le PMI italiane l’impatto totale medio di una violazione di dati è ammontato a 75.600 euro e per le grandi aziende dieci volte tanto, cioè 856.800 euro. Inoltre, le aziende enterprise hanno speso in media 69.720 euro per migliorare il software e l’infrastruttura a seguito di un problema alla sicurezza.

Tuttavia, aumentare i budget per la sicurezza IT è solo una parte della soluzione, visto che le perdite più gravi derivano da incidenti che riguardano terze parti e i loro errori informatici. Le PMI hanno dovuto pagare fino a 140 mila dollari per incidenti che hanno colpito infrastrutture ospitate da terze parti, mentre le grandi aziende hanno perso quasi due milioni di dollari (1,8 milioni di dollari) a causa di falle che hanno colpito fornitori con cui condividevano dati e 1,6 milioni di dollari a causa di un livello insufficiente di protezione degli laaS-provider.

Non appena un’azienda permette l’accesso ai suoi dati o infrastrutture a un’altra azienda, le debolezze di una delle due società intaccano entrambe. Questa questione sta diventando sempre più importante, dal momento in cui i governi di tutto il mondo fremono per introdurre nuove legislazioni che richiedono che le organizzazioni forniscano informazioni su come condividono e proteggono i dati personali.

“Gli incidenti alla sicurezza informatica che riguardano terze parti sono dannosi per le aziende di tutte le grandezze e il loro impatto finanziario è ancora più grave. Questo perché le minacce si evolvono velocemente mentre le aziende e la legislazione cambiano lentamente. Quando norme come il GDPR diventeranno giuridicamente applicabili e prima che le aziende riescano ad aggiornare le loro policy, le società si ritroveranno a dover pagare anche le spese per la loro inadempienza” afferma Alessio Aceti, Head of Enterprise Business Division di Kaspersky Lab.