I rischi della perdita dati aziendali e come prevenirla

La perdita di dati aziendali è un problema sempre più rilevante per le imprese. Secondo il più recente Cost of a Data Breach Report di IBM, per l’83% delle organizzazioni il tema non è “se” avverrà una violazione dei dati, ma quando. A livello enterprise, il costo medio di un data breach ha stabilmente superato i 4 milioni di dollari, e si posiziona a 164 dollari per singolo record.

Nonostante i numeri e le statistiche si riferiscano principalmente ad aziende di grandi dimensioni, la perdita di dati aziendali riguarda tutti i soggetti economici. Anche le piccole imprese possono custodire dati preziosissimi, si pensi agli studi professionali o alle aziende impegnate nel mondo sanitario e finanziario. La grande differenza tra le due tipologie di organizzazioni riguarda più che altro la consapevolezza e la cultura della sicurezza; se di solito le grandi imprese affrontano il tema in modo sistemico, alcune PMI soffrono ancora di carenze di tipo culturale e rischiano di realizzarne la centralità solo a danno ormai fatto.

Le 5 cause principali della perdita di dati

Il tema della perdita di dati aziendali è complesso da affrontare perché dipende da molte cause. Questo rende la prevenzione e la gestione dei data breach una sfida per le imprese ma, al tempo stesso, una necessità assoluta. Tra le cause, troviamo:

·       Errori

Spesso la perdita di dati è causata da errori umani, come ad esempio configurazioni errate dei sistemi informatici o comportamenti a rischio come la condivisione di informazioni con chi non avrebbe titolo di ottenerle.

·       Attacchi informatici

L’hacking in senso stretto è solitamente finalizzato all’interruzione dell’operatività (business continuity) e/o all’esfiltrazione dei dati, che è anche più grave della perdita.

·       Guasti hardware

I guasti all’interno dell’infrastruttura, come ad esempio un crash del sistema di storage, possono causare la perdita di dati.

·       Disastri naturali

Terremoti, incendi o alluvioni possono danneggiare i data center, con conseguente perdita di dati in assenza di misure di continuità del business. Sotto questo profilo specifico, l’azione centrale è il backup.

·       Furto di dispositivi

Da quando le persone lavorano da remoto, e spesso con dispositivi personali, il furto di device è diventata una minaccia molto reale all’integrità dei dati aziendali.

Tra queste cause, l’errore umano è una delle più comuni e spesso sottovalutate. È quindi fondamentale sensibilizzare i dipendenti sull’importanza della sicurezza e sulle buone pratiche per prevenire la perdita di informazioni determinanti per il business.

Dalla compliance alla reputazione: le conseguenze della perdita di dati

Per quanto concerne i rischi di una perdita di dati, o meglio le sue conseguenze, anche in quest’ambito l’elenco potrebbe essere molto corposo.

Il primo fattore su cui IT manager e imprenditori dovrebbero concentrarsi è la compliance. Ogni azienda è soggetta a una regolamentazione ampia e pervasiva, come quella del GDPR, così come ad una normativa di settore, rispetto alla quale è possibile citare la PSD2 del mondo finanziario o HIPAA per l’healthcare. Un data breach può avere conseguenze nefaste sotto questo profilo, traducendosi in sanzioni anche importanti, da sommare ad eventuali azioni legali da parte di aziende clienti, di partner e consumatori.

Molte aziende ritengono che il danno maggiore siano le ricadute reputazionali di un data breach: è difficile, infatti, pensare che le persone e le aziende possano affidare i propri dati a chi non è stato in grado di proteggerli in passato, e un discorso analogo vale per l’attrazione di talenti, che sono ben poco inclini a investire il proprio futuro in organizzazioni poco sicure sotto il profilo della data protection.

Come prevenire la perdita di dati aziendali

Il tema della prevenzione dei data breach è ampio perché, come si è visto, le cause sono molteplici. La certezza è che occorre adottare un punto di vista sistemico e definire la propria strategia di protezione dei dati, che poi va tradotta in comportamenti (persone), in processi e in tecnologie atte a supportare l’impianto strategico.

L’esigenza di una strategia “olistica” deriva del fatto che il singolo strumento non può proteggere il dato aziendale da molteplici fonti di rischio. Ecco un paio di esempi:

·       Il backup è fondamentale e risolutivo contro i guasti alle macchine e gli eventi disruptive, ma non può nulla contro l’esfiltrazione di dati da parte di un malintenzionato;

·       Le soluzioni di disaster recovery garantiscono che, a fronte di un evento disastroso, la perdita di dati rientri in limiti accettabili (RPO, Recovery Point Objective), ma non hanno nessuna efficacia contro errori umani quali la condivisione accidentale dei dati.

Le fattispecie sono moltissime e spiegano l’esigenza di una definizione strategica volta ad aumentare la postura di sicurezza aziendale. A titolo d’esempio, si considerino queste azioni:

·       sviluppare l’awareness dei dipendenti, fondamentale per tenere sotto controllo gli errori e prevenire attacchi di phishing e di social engineering;

·       adottare una soluzione di data loss prevention (DLP) per assicurarsi che il dato sia accessibile solo agli aventi diritto;

·       implementare una soluzione di backup per ottenere un ripristino rapido in caso di guasti ed errori;

·       introdurre una corretta attività di patching dei sistemi per evitare che vengano sfruttate vulnerabilità note;

·       adottare soluzioni di network security per rendere difficile la vita ai malintenzionati;

·       valutare una piattaforma di endpoint security, fondamentale nell’era del lavoro smart.

A seconda del business aziendale, della normativa, delle dimensioni e dei budget è possibile poi creare una soluzione adeguata, ovvero quella che, pur non potendo raggiungere il 100% della sicurezza, sia comunque in grado di gestire il rischio in modo responsabile e proattivo, assicurando un presente e un futuro brillante all’azienda.