Studio sul costo della criminalità informatica 2015: Studio globale. Studio di riferimento di...

Studio sul costo della criminalità informatica 2015: Studio globale

Rapporto di ricerca Ponemon Institute

Sponsorizzato da Hewlett Packard Enterprise Condotto autonomamente da Ponemon Institute LLC Data di pubblicazione: ottobre 2015

Rapporto di ricerca Ponemon Institute Pagina 1

Studio sul costo della criminalità informatica 2015: Studio globale Studio di riferimento di aziende globali

Ponemon Institute ottobre 2015

Parte 1. Executive Summary Siamo lieti di presentare lo Studio sul costo della criminalità informatica 2015: Studio globale, sponsorizzato da Hewlett Packard Enterprise. Lo studio di quest’anno si basa su un campione rappresentativo di 252 organizzazioni in sette paesi.

Ponemon Institute ha condotto il primo Studio sul costo della criminalità informatica negli Stati Uniti sei anni fa. Questo è il quarto anno in cui abbiamo condotto lo studio in Regno Unito, Germania, Australia e Giappone e il secondo anno in cui la ricerca è stata effettuata nella Federazione Russa. Quest’anno abbiamo aggiunto il Brasile. I risultati rilevati nei sette paesi sono stati presentati in rapporti separati.

Il numero di attacchi informatici compiuti contro governi mondiali e imprese commerciali continua a crescere in frequenza e sicurezza. Al fine di combattere la crescente criminalità informatica, di recente è stata fondata la Global Cyber Alliance (GCA), un’organizzazione internazionale e intersettoriale volta ad affrontare, risolvere e prevenire le attività cibernetiche maligne. Tra i partner che si sono uniti all’Alliance rientrano i leader di sicurezza, difesa, retail, sanità, assicurazioni, energia, aviazione, istruzione, forze dell’ordine, istituzioni governative e finanziarie, comprese American Express, Barclays Bank, Citibank, US Bank e Financial Services ISAC.1

Ai fini del presente studio, per attacchi informatici si intende l’attività criminale condotta via Internet. Tali attacchi possono includere il furto della proprietà intellettuale di un’organizzazione, la confisca di conti bancari online, la creazione e la distribuzione di virus su altri computer, la pubblicazione di informazioni aziendali riservate su Internet e la compromissione dell’infrastruttura nazionale critica di un paese.

Il nostro obiettivo è quello di quantificare l’impatto economico degli attacchi informatici e osservare i trend dei costi nel corso del tempo. Riteniamo che una migliore comprensione dei costi della criminalità informatica aiuterà le organizzazioni a definire il giusto livello di investimento e di risorse necessarie al fine di prevenire o mitigare le conseguenze di un attacco.

In base alla nostra esperienza, un approccio d’indagine tradizionale non coglie i necessari dettagli richiesti per estrapolare i costi dei crimini informatici. Pertanto, effettuiamo ricerche sul campo che comprendono sondaggi tra il personale dirigenziale riguardo gli incidenti effettivi legati alla criminalità informatica presso le loro organizzazioni. Sono necessari circa 10 mesi di sforzi per reclutare le aziende, costruire un modello di costo basato sulle attività per analizzare i dati, raccogliere le informazioni alla fonte e completare l’analisi.

Ai fini della coerenza, il nostro campione di riferimento consiste unicamente in organizzazioni di dimensioni maggiori (ovvero, con un minimo di circa 1.000 terminali aziendali2). Lo studio analizza i costi totali sostenuti dalle organizzazioni per far fronte a incidenti di criminalità informatica. Questi includono i costi per il rilevamento, il recupero, le indagini e la gestione della risposta agli incidenti. Inoltre sono compresi i costi che comportano attività post-evento e impegno per il contenimento dei costi aggiuntivi derivanti dall’interruzione delle attività e dalla perdita di clienti. Tali costi non comprendono le varie spese e investimenti effettuati al fine di supportare l’approccio alla sicurezza dell’organizzazione o la sua conformità con normative, politiche e regolamenti.

1 “È nata la Global Cyber Alliance, con l’obiettivo di combattere il crescente cybercrimine”, di Ryan Daws, TelecomsTech, 16 settembre 2015 2 I terminali aziendali si riferiscono al numero di collegamenti diretti alla rete e ai sistemi aziendali.

Studio globale in sintesi

252 aziende in 7 paesi

2.128 sondaggi tra il personale dell’azienda

1.928 attacchi totali utilizzati per misurare il costo totale

Il costo medio annualizzato è pari a USD7,7 milioni

1,9 percento di aumento netto nello scorso anno

15 percento di ROI medio per 7 tecnologie di sicurezza


Studio globale in sintesi Lo studio annuale di quest’anno è stato condotto in Stati Uniti, Regno Unito, Germania, Australia, Giappone, Federazione Russa e, per la prima volta, Brasile, con un campione di riferimento totale di 252 organizzazioni. I risultati specifici dei vari paesi sono stati presentati in sette rapporti distinti. La Figura 1 presenta il costo medio stimato della criminalità informatica per sette campioni dei paesi, riguardanti 252 diverse aziende, in confronto alle medie dei paesi relative all’anno scorso. Le cifre dei costi sono state convertite in dollari USA a scopo di comparazione.3 Come illustrato, il costo totale della criminalità informatica presenta un’importante variazione tra le aziende che hanno preso parte al campione di riferimento. Il campione statunitense riporta il costo medio totale superiore, con USD15 milioni, mentre il campione russo si attesta come quello inferiore, con USD2,4 milioni. È interessante notare, inoltre, che Germania, Giappone, Australia e Russia sono stati testimoni di una leggera riduzione del costo della criminalità informatica nello scorso anno. Tuttavia, questo risultato deriva dalle differenze dei tassi di cambio rispetto all’anno scorso, dovute a una forte posizione del dollaro USA rispetto ad altre divise locali. Pertanto, con i dovuti adattamenti delle differenze dei tassi di cambio, notiamo effettivamente un incremento netto dei costi totali della criminalità informatica in tutti i paesi. La variazione percentuale netta tra l’esercizio finanziario 2015 e 2014 in dollari USA (a eccezione del Brasile) è dell’1,9 percento. Figura 1. Costo totale della criminalità informatica in sette paesi Costo espresso in dollari USA (000.000), n = 252 singole aziende

* I risultati non sono stati disponibili per tutti gli esercizi finanziari

3Tassi di conversione valutari del 14 settembre 2015 di The Wall Street Journal.

$2.37

$3.47

$3.85

$6.32

$6.81

$7.50

$15.42

$3.33

$3.99

$5.93

$6.91

$8.13

$12.69

$3.67

$4.72

$6.73

$7.56

$11.56

$- $2.00 $4.00 $6.00 $8.00 $10.00 $12.00 $14.00 $16.00 $18.00

Russia*

Australia

Brasile*

Regno Unito

Giappone

Germania

Stati Uniti

Esercizio 2013 Esercizio 2014 Esercizio 2015


La Figura 2 riassume la variazione netta dei costi della criminalità informatica tra il 2014 e il 2015, misurata nelle divise locali. Come si può notare, l’incremento più significativo del costo della criminalità informatica si verifica in Russia e negli Stati Uniti, rispettivamente con il 29 e il 19 percento. Con l’8 percento, la Germania riporta l’incremento minore del costo annuo totale. Figura 2. Variazione netta su un anno nella criminalità informatica in sei paesi Non è stato possibile calcolare la variazione netta per il Brasile n = 252 singole aziende

8%

13%

14%

14%

19%

29%

0% 5% 10% 15% 20% 25% 30% 35%

Germania

Australia

Regno Unito

Giappone

Stati Uniti

Russia


Riassunto dei risultati globali A seguire sono riportati i risultati principali per un campione di 252 organizzazioni che ha richiesto 2.128 sondaggi separati per la raccolta dei risultati dei costi della criminalità informatica. In vari punti di questo rapporto, effettuiamo un confronto tra i risultati attuali e la media dell’anno scorso degli studi di riferimento. La criminalità informatica continua a essere in crescita per le organizzazioni. Abbiamo rilevato che il costo medio annualizzato per le 252 organizzazioni di riferimento è pari a USD7,7 milioni all’anno, con un range che spazia da USD0,31 milioni a USD65 milioni. Il costo medio relativo allo scorso anno si attestava a USD7,6 milioni, o a una variazione netta dell’1,9 percento dopo gli adattamenti relativi alle differenze di valuta (a eccezione del campione brasiliano). Come illustrato nella Figura 2, la variazione netta su un anno misurata nelle divise locali è pari al 13,9 percento. Il costo della criminalità informatica varia in base alle dimensioni organizzative. I risultati rivelano un rapporto positivo tra le dimensioni organizzative (misurate dai terminali aziendali) e il costo annualizzato.4 Tuttavia, sulla base dei terminali aziendali, abbiamo stabilito che le piccole organizzazioni sostengono un costo pro capite decisamente superiore alle organizzazioni di maggiori dimensioni (USD1.388 rispetto a USD431). Tutti i settori sono vittime della criminalità informatica, ma in gradi diversi. Il costo medio annualizzato della criminalità informatica sembra variare per segmento industriale, dove le organizzazioni di servizi finanziari e servizi pubblici ed energia sostengono costi della criminalità cibernetica decisamente superiori rispetto alle organizzazioni che operano nel settore sanitario, automobilistico e agricolo, scienze biologiche e assistenza sanitaria. I crimini informatici più costosi sono quelli provocati da personale interno malintenzionato, Denial of Service e attacchi basati sul Web. La mitigazione di tali attacchi richiede l’attivazione di tecnologie come SIEM, sistemi di prevenzione delle violazioni, soluzioni di test della sicurezza delle applicazioni e soluzioni di GRC aziendale. Gli attacchi cibernetici possono diventare costosi se non vengono risolti in tempi rapidi. I risultati mostrano un rapporto positivo tra il tempo necessario a contenere un attacco e il costo organizzativo. Si tenga presente che per risoluzione non si intende necessariamente un completo arresto dell’attacco. Ad esempio, alcuni attacchi rimangono latenti e non vengono rilevati (come nel caso degli attacchi moderni). Il numero medio di giorni necessari a risolvere gli attacchi informatici è di 46 giorni, con un costo medio di USD21.155 al giorno, o un costo totale di USD973.130 nel corso del periodo di risanamento di 46 giorni. Le interruzioni aziendali rappresentano il costo esterno maggiore, seguite dai costi relativi alla perdita di informazioni.5 Su base annualizzata, le interruzioni aziendali sono responsabili del 39 percento dei costi esterni totali, compresi i costi associati ai problemi dei processi aziendali e alla perdita di produttività dei dipendenti. Il rilevamento rappresenta l’attività interna più costosa, seguita dal risanamento. Su base annualizzata, i costi combinati di rilevamento e risanamento costituiscono il 53 percento del costo totale dell’attività interna, con la perdita di produttività e la manodopera diretta che rappresentano la maggior parte di tali costi. Le attività relative alla sicurezza IT a livello di rete ricevono la maggior parte della dotazione finanziaria. Al contrario, il livello host riceve il grado inferiore di finanziamenti.

4Nel presente studio, per terminale aziendale si intende un’identificazione/dispositivo dell’utente finale collegato alle reti centrali o ai sistemi aziendali di un’impresa. 5Nell’ambito del presente studio, per costo esterno si intende il costo generato da fattori esterni, come multe, controversie, commerciabilità di proprietà intellettuale rubata e altro.


Lo sviluppo dei sistemi di intelligence di sicurezza fa la differenza. Il costo della criminalità informatica è mitigato dall’utilizzo di sistemi di intelligence di sicurezza (inclusi SIEM). I risultati suggeriscono che le aziende che utilizzano tecnologie di intelligence di sicurezza sono più efficienti nel rilevamento e nel contenimento degli attacchi informatici. Di conseguenza, queste aziende hanno goduto di una media di USD1,9 milioni di risparmio sui costi rispetto alle aziende che non hanno implementato tecnologie di intelligence di sicurezza. Le aziende che implementano sistemi di intelligence di sicurezza sono state testimoni di un ROI decisamente superiore (attestato al 23%) rispetto a tutte le altre categorie di tecnologia presentate. Sono inoltre significativi i risultati delle stime del ROI per le aziende che fanno ampio uso delle tecnologie di crittografia (21%) e di controlli perimetrali avanzati, come UTM, NGFW, IPS con feed di reputazione (20%). Lo sviluppo delle pratiche di governance della sicurezza aziendale mitiga il costo della criminalità informatica. Le aziende che impiegano personale esperto hanno un risparmio medio sui costi della criminalità informatica pari a USD1,5 milioni e quelle che nominano un leader della sicurezza di alto livello riducono i costi di una media di USD1,3 milioni. Si tenga presente che questi risparmi dei costi estrapolati sono indipendenti gli uni dagli altri e non possono essere sommati.


Parte 2. Risultati chiave In questa sezione forniamo un’analisi dei risultati chiave organizzati in base ai seguenti argomenti: Il costo medio della criminalità informatica per dimensioni organizzative e settore Il tipo di attacco influisce sul costo della criminalità informatica Un’analisi dei componenti dei costi della criminalità informatica Il costo medio della criminalità informatica per dimensioni organizzative e settore Per determinare il costo medio della criminalità informatica, alle 252 organizzazioni coinvolte nello studio è stato chiesto di segnalare la loro spesa per la gestione dei crimini cibernetici sostenuta nel corso di quattro settimane consecutive. Una volta compilati e validati i costi relativi al periodo di quattro settimane, tali cifre sono state estrapolate per determinare il costo annualizzato.6 Come illustrato nella Figura 3, il costo annualizzato totale della criminalità informatica relativo al 2015 è compreso tra un minimo di USD31 milioni e un massimo di USD65 milioni. Il costo annualizzato mediano della criminalità informatica nel campione di riferimento è pari a USD5,5 milioni: una leggera riduzione rispetto ai USD6 milioni del 2014. Il valore medio è di USD7,7 milioni. Una leggera riduzione rispetto alla media dell’anno scorso di USD7,8 milioni. La variazione netta percentuale dallo scorso anno per i sette paesi è pari all’1,9 percento.

Figura 3. Il costo della criminalità informatica Visione consolidata, n = 252 singole aziende Costo espresso in dollari USA

6Di seguito la statistica estrapolata: Fatturato annualizzato = [stima di costo]/[4/52 settimane].

$307,800

$5,533,432

$7,721,552

$65,047,302

$567,316

$6,021,893

$7,574,791

$60,525,947

$373,387

$5,479,234

$7,217,030

$58,095,571

$- $15,000,000.00 $30,000,000.00 $45,000,000.00 $60,000,000.00 $75,000,000.00

Minimo

Mediano

Medio

Massimo

Esercizio 2013 Esercizio 2014 Esercizio 2015


La Figura 4 riporta la distribuzione del costo annualizzato totale per 252 aziende. Come si può notare, 90 aziende del nostro campione hanno sostenuto costi totali superiori al valore medio di USD7,7 milioni, indicando pertanto una distribuzione disomogenea. La stima superiore del costo di USD65 milioni non è risultata come valore aberrante sulla base di ulteriori analisi. Un totale di 162 organizzazioni ha sostenuto un costo annualizzato totale della criminalità informatica inferiore al valore medio.

Figura 4. Costo annualizzato totale della criminalità informatica per le 252 aziende partecipanti Costo espresso in dollari USA

Come parte della nostra analisi, abbiamo calcolato un intervallo di precisione per il costo medio di USD7,7 milioni. Lo scopo di tale intervallo è dimostrare che le nostre stime di costo dovrebbero essere considerate come un range di possibili risultati, piuttosto che come un singolo valore o numero. Il range di possibili stime di costo si espande a livelli sempre maggiori di sicurezza, come illustrato nella Figura 5. In particolare, a un livello di sicurezza del 90 percento prevediamo un range di costo compreso tra USD6,2 milioni e USD9,2 milioni. Figura 5. Intervallo di precisione per il valore medio del costo annualizzato totale Costo espresso in dollari USA

$65,047,302

$-

$10,000,000

$20,000,000

$30,000,000

$40,000,000

$50,000,000

$60,000,000

$70,000,000

Costo totale annualizzato Media

6,198,327 5,931,811 5,423,952

4,660,947

9,244,672 9,511,188 10,019,047

10,782,052

-

2,000,000

4,000,000

6,000,000

8,000,000

10,000,000

12,000,000

Intervallo diprecisione del 90%


Intervallo diprecisione del 97,5%


Minimo Medio Massimo


Il costo della criminalità informatica varia in base alle dimensioni organizzative. Come illustrato nella Figura 6, le dimensioni organizzative, misurate dal numero di terminali o nodi aziendali, è positivamente correlato al costo annualizzato della criminalità informatica. Tale correlazione positiva è indicata dalla curva di regressione con tendenza verso l’alto. Il numero di terminali spazia da un minimo di 673 a un massimo di 79.367.

Figura 6. Costo annualizzato in ordine crescente per numero di terminali aziendali Costo espresso in dollari USA

Le organizzazioni sono collocate in uno dei quattro quartili in base al numero totale dei loro terminali aziendali (che utilizziamo come surrogato delle dimensioni). Questo per spiegare in modo più preciso il rapporto tra le dimensioni organizzative e il costo della criminalità informatica. La Tabella 1 mostra il costo medio quartile della criminalità informatica per tre anni. In ogni quartile si trovano circa 63 aziende. Tabella 1: Analisi quartile Costo espresso in dollari USA

Esercizio 2015 (n=252)



Quartile 1 (inferiore) 3.279.376 2.967.723 2.965.464

Quartile 2 5.246.519 5.107.532 4.453.688

Quartile 3 8.987.450 8.321.024 6.659.478

Quartile 4 (superiore) 13.372.861 13.805.529 14.707.980

La Tabella 2 riporta il costo medio per terminale aziendale (ovvero il costo pro capite) compilato per quattro quartili, da quello inferiore (Quartile 1) a quello superiore (Quartile 4). In linea con gli anni precedenti, il costo pro capite medio relativo al 2015 per le organizzazioni con il minor numero di terminali aziendali è circa tre volte superiore al costo pro capite medio per le organizzazioni con il maggior numero di terminali (USD1.388 rispetto a USD431). Tabella 2: Analisi quartile Costo espresso in dollari USA

Costo per terminale 2015



Quartile 1 (inferiore) USD1.555 USD1.601 USD1.388

Quartile 2 USD878 USD962 USD710

Quartile 3 USD709 USD726 USD532

Quartile 4 (superiore) USD368 USD437 USD431

-

10,000,000

20,000,000

30,000,000

40,000,000

50,000,000

60,000,000

70,000,000

Ordine crescente per numero di terminali aziendali (dimensioni)

Costo totale annualizzato Regressione


Determinati attacchi sono più costosi a seconda delle dimensioni organizzative. Lo studio è incentrato su nove diversi vettori di attacco come fonte del crimine cibernetico. Nella Figura 7, confrontiamo le organizzazioni più piccole e quelle di maggiori dimensioni in base alla mediana del campione di 8.703 terminali. Le organizzazioni più piccole (al di sotto della mediana) sostengono una proporzione maggiore di costi legati alla criminalità informatica in relazione ad attacchi basati sul Web, phishing e social engineering, malware, virus, worms, cavalli di Troia (Trojan horse) e botnet.

Per contrasto, le organizzazioni di maggiori dimensioni (sopra la mediana) sostengono una proporzione superiore di costi relativi ad attacchi di tipo Denial of Service, personale interno malintenzionato, codici maligni e furti di dispositivi. Nel contesto di questa ricerca, il personale interno malintenzionato

include dipendenti, dipendenti temporanei, appaltatori e, possibilmente, altri business partner.

Inoltre facciamo distinzione tra virus e malware. I virus risiedono sul terminale e, diversamente dai malware, non hanno ancora infiltrato la rete. I codici maligni colpiscono il livello dell’applicazione e includono gli attacchi SQL.

Figura 7. Le dimensioni organizzative influiscono sui costi di gestione di nove tipi di attacchi Dimensioni misurate in base al numero di terminali aziendali all’interno delle organizzazioni partecipanti Visione consolidata, n = 252 singole aziende

3%

9%

9%

10%

10%

13%

13%

18%

15%

4%

8%

10%

12%

13%

11%

11%

12%

20%

0% 5% 10% 15% 20% 25% 30% 35% 40%

Botnet

Dispositivi rubati

Virus, worms, cavalli di Troia (Trojan horse)

Malware

Phishing e social engineering

Codice maligno

Personale interno malintenzionato

Denial of Service

Attacchi basati sul Web

Numero di terminali aziendali superiore alla mediana

Numero di terminali aziendali inferiore alla mediana


Il costo della criminalità informatica influisce su tutti i settori. Il costo medio annualizzato della criminalità informatica sembra variare per segmento industriale. Nello studio di quest’anno confrontiamo i costi medi per 18 settori industriali diversi. Come illustrato nella Figura 8, le aziende di servizi finanziari e servizi pubblici ed energia hanno sostenuto il costo annualizzato maggiore. Al contrario, le aziende dei settori sanitario, automobilistico e agricolo hanno sostenuto un costo medio molto minore.7 Figura 8. Costo annualizzato medio per settore industriale Costo espresso in dollari USA, USD1.000.000 omesso Visione consolidata, n = 252 singole aziende

7Questa analisi è unicamente a scopo illustrativo. Le dimensioni del campione in vari settori sono troppo ridotte per poter trarre conclusioni definitive riguardo le differenze di settore.

$1.97

$2.28

$2.35

$2.75

$3.15

$3.34

$3.89

$4.88

$4.90

$5.53

$5.65

$6.01

$6.61

$7.66

$7.93

$8.09

$12.80

$13.50

$0.00 $2.00 $4.00 $6.00 $8.00 $10.00 $12.00 $14.00 $16.00

Agricolo

Automobilistico

Sanitario

Farmaceutico

Media

Ospitalità

Istruzione e ricerca

Retail

Prodotti al consumo

Comunicazioni

Trasporti

Settore pubblico

Difesa

Industriale

Servizi

Tecnologia

Servizi pubblici ed energia

Servizi finanziari


Il tipo di attacco cibernetico influisce sul costo della criminalità informatica Nei nostri studi osserviamo 9 diversi vettori di attacco come fonte del crimine cibernetico. Quest’anno, il campione di riferimento di 252 organizzazioni ha sostenuto un totale di 1.928 distinti attacchi informatici. L’elenco sottostante illustra il numero di attacchi avvenuti con successo nei quattro anni scorsi, un numero che ha subito un costante aumento. Esercizio 2015, 477 attacchi a 252 organizzazioni o 1,9 attacchi avvenuti con successo per

azienda alla settimana Esercizio 2014, 429 attacchi a 257 organizzazioni o 1,7 attacchi avvenuti con successo per



azienda alla settimana La Figura 9 riassume in percentuale i tipi di metodi di attacco sostenuti dalle aziende partecipanti. Praticamente tutte le organizzazioni hanno sostenuto attacchi relativi a virus, worms e/o cavalli di Troia (Trojan horse) e malware nel corso del periodo di riferimento di quattro settimane. Gli attacchi malware e gli attacchi da codici maligni sono intrinsecamente legati. Abbiamo classificato gli attacchi malware che hanno infiltrato con successo le reti delle organizzazioni o i sistemi aziendali come attacchi da codici maligni. Il 64 percento ha subito attacchi basati su Web, mentre il 62 percento attacchi di tipo phishing e social engineering. Molte aziende hanno inoltre subito attacchi da codici maligni e botnet (entrambi al 59%) e attacchi Denial of Service (51%). Solo il 35 percento delle aziende afferma che l’origine del crimine informatico sia stato un membro del personale malintenzionato. Figura 9. Tipi di attacchi subiti dalle 252 aziende di riferimento Visione consolidata, n = 252 singole aziende

35%

45%

51%

59%

59%

62%

64%

98%

99%

0% 20% 40% 60% 80% 100% 120%


Dispositivi rubati

Denial of Service

Botnet

Codice maligno



Malware



I costi variano significativamente in base al tipo di attacco cibernetico. La Figura 10 confronta i risultati di riferimento per i sette paesi, illustrando la proporzione del costo annualizzato della criminalità informatica allocato per i nove tipi di attacchi da parte di tutte le organizzazioni di riferimento. I codici maligni rappresentano il problema più costoso per le aziende statunitensi. I paesi con i costi più elevati in relazione agli attacchi Denial of Service sono il Regno Unito e l’Australia. I malware hanno il costo più elevato nella Federazione Russa. Nella maggior parte dei paesi, i botnet rappresentano il tipo di attacco meno costoso. Figura 10. Costo annualizzato percentuale della criminalità informatica per tipo di attacco Visione consolidata, n = 252 singole aziende

3%

4%

7%

9%

10%

12%

14%

16%

24%

2%

13%

12%

6%

6%

17%

21%

15%

8%

6%

11%

4%

10%

19%

21%

9%

13%

7%

4%

6%

13%

7%

9%

16%

9%

24%

12%

4%

9%

8%

10%

12%

19%

10%

17%

11%

3%

6%

6%

10%

12%

16%

14%

20%

13%

2%

12%

5%

18%

15%

18%

10%

9%

11%

Botnet


Dispositivi rubati

Malware



Phishing e SE

Denial of Service

Codice maligno

Stati Uniti Germania Giappone Regno Unito Brasile Australia Federazione Russa


Sul costo della criminalità informatica influisce anche la frequenza degli attacchi. La Figura 11 illustra gli attacchi cibernetici, dal più costoso al meno costoso, in un’analisi basata sulla frequenza degli incidenti. Gli attacchi più costosi sono quelli provocati da personale interno malintenzionato, Denial of Service e attacchi basati sul Web. Figura 11. Costo annualizzato medio ponderato della criminalità informatica per frequenza degli attacchi Visione consolidata, n = 252 singole aziende

$1,075

$1,900

$7,378

$33,565

$81,500

$85,959

$96,424

$126,545

$144,542

$0 $25,000 $50,000 $75,000 $100,000 $125,000 $150,000 $175,000

Botnet


Malware

Dispositivi rubati

Codice maligno

Phishing e SE


Denial of Service



Il tempo impiegato per risolvere o contenere i crimini informatici fa aumentare i costi. Il numero medio di giorni necessari a risolvere gli attacchi informatici è di 46 giorni, con un costo medio di USD21.155 al giorno, o un costo totale di USD973.130 nel corso del periodo di risanamento di 46 giorni. Si tenga presente che per risoluzione non si intende necessariamente un completo arresto dell’attacco.Ad esempio, alcuni attacchi rimangono latenti e non vengono rilevati (come nel caso degli attacchi moderni). La Figura 12 illustra il costo annualizzato della criminalità informatica in ordine crescente in base al numero medio di giorni necessari per risolvere gli attacchi. La curva di regressione mostra una tendenza verso l’alto, che suggerisce una correlazione positiva tra le variabili di costo e tempo. Figura 12. Costo annualizzato totale in base al numero di giorni necessari per il contenimento dell’attacco

$-

$10,000,000

$20,000,000

$30,000,000

$40,000,000

$50,000,000

$60,000,000

$70,000,000

Ordine crescente in base al numero di giorni necessari per il contenimento dell’attacco

Costo totale annualizzato Regressione


Alcuni attacchi richiedono più tempo per la risoluzione e, di conseguenza, sono più costosi. Come illustrato, il tempo necessario per risolvere le conseguenze degli attacchi fa aumentare il costo di un crimine informatico. La Figura 13 indica i giorni medi necessari per risolvere gli attacchi informatici, per i tipi di attacco oggetto di questo rapporto. Dalla tabella risulta evidente che, in media, la risoluzione di attacchi da parte di personale interno malintenzionato, codici maligni e perpetratori basati sul Web (hacker) richiede la maggiore quantità di tempo. Malware, virus e botnet, in media, vengono risolti in tempi relativamente rapidi (ovvero entro qualche giorno). Figura 13. Alcuni attacchi richiedono più tempo per la risoluzione Tempo medio stimato misurato per ogni tipo di attacco in giorni Visione consolidata, n = 252 singole aziende

2.2

2.4

5.8

12.3

19.3

21.9

27.7

47.5

54.4

- 10.0 20.0 30.0 40.0 50.0 60.0

Botnet


Malware

Dispositivi rubati

Denial of Service



Codice maligno



Un’analisi dei componenti dei costi della criminalità informatica Il furto di informazioni rimane la conseguenza più costosa di un crimine informatico. In questa ricerca osserviamo le quattro principali conseguenze di un attacco informatico: interruzioni delle attività, perdita di informazioni, perdita di fatturato e danni all’attrezzatura. Come illustrato nella Figura 14, tra le organizzazioni rappresentate nel presente studio, le interruzioni delle attività rappresentano la componente di costo maggiore (39 percento). Il costo delle interruzioni delle attività include la ridotta produttività dei dipendenti e i problemi dei processi aziendali che si verificano a seguito di un attacco informatico. Seguono le perdite di informazioni e fatturato, rispettivamente con il 35% e 21%. Figura 14. Costo percentuale per conseguenze esterne Visione consolidata, n = 252 singole aziende

39%

35%

21%

4%2%

0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

Interruzionedelle attività

Perdita diinformazioni

Perdita difatturato

Danni all’attrezzatura

Altri costi


Le aziende investono maggiormente nel rilevamento e nel recupero. Le attività di rilevamento e recupero a seguito di un crimine informatico sono responsabili del 53 percento del costo totale delle attività interne, come illustrato nella Figura 15. Seguono i costi di contenimento e indagine (rispettivamente con il 16% e il 14%). Gli elementi di costo per rilevamento e recupero evidenziano un’importante opportunità di riduzione dei costi per le organizzazioni che sono in grado di gestire la ripresa in modo sistematico e di implementare tecnologie di sicurezza in grado di aiutare a facilitare il processo di rilevamento. Figura 15. Costo percentuale in base alle attività svolte per risolvere un attacco informatico Visione consolidata, n = 252 singole aziende

La percentuale di costi annualizzati può essere ulteriormente suddivisa in cinque componenti di spesa specifiche, che includono: perdita di produttività (34%), manodopera diretta (23%), esborsi (17%), manodopera indiretta (15%) e spese generali (9%). I costi non inclusi in queste componenti sono rappresentati nella categoria “Altro”.

Figura 16. Costo percentuale delle attività in base a cinque componenti di costo specifiche Visione consolidata, n = 252 singole aziende

30%

23%

16%14%

9%7%

0%

5%

10%

15%

20%

25%

30%

35%

Rilevamento Recupero Contenimento Indagine Gestione degliincidenti

Risposta expost

34%

23%

17%15%

9%

2%

0%

5%

10%

15%

20%

25%

30%

35%

40%

Perdita diproduttività

Manodoperadiretta

Esborso Manodoperaindiretta

Spesegenerali

Altro


La porzione maggiore del budget di sicurezza è allocata al livello di rete. La Figura 17 riassume sei livelli in una normale infrastruttura di sicurezza IT multi-layer per tutte le aziende di riferimento. Ciascuna barra riflette la percentuale di spesa dedicata in base al livello presentato. Il livello di rete riceve l’allocazione maggiore, con una percentuale del 30 percento dei finanziamenti di sicurezza IT totali dedicati. Con solo l’8 percento, il livello host riceve il grado inferiore di finanziamenti. Figura 17. Spesa prevista o stanziata in base a sei livelli di sicurezza IT Visione consolidata, n = 252 singole aziende

Le organizzazioni che implementano tecnologie di intelligence di sicurezza ottengono un minore costo annualizzato della criminalità informatica. La Figura 18 indica l’importo medio che le aziende possono risparmiare con SEIM nelle sei attività svolte al fine di risolvere gli attacchi cibernetici. La figura confronta le aziende che implementano sistemi di intelligence di sicurezza con quelle che non li implementano. In totale, 110 aziende (44%) implementano strumenti di intelligence di sicurezza, come SIEM, IPS con feed di reputazione, sistemi di intelligence di rete, analisi dei big data e altro. Con una sola eccezione (costi di indagine), le aziende che utilizzano sistemi di intelligence di sicurezza sostengono minori costi delle attività rispetto alle aziende che non fanno uso di tali tecnologie. Le maggiori differenze di costo in milioni appartengono alle attività di rilevamento (USD3,42 rispetto a USD2,50) e contenimento (USD1,01 rispetto a USD1,28).

Figura 18. Confronto dei costi delle attività e utilizzo delle tecnologie di intelligence di sicurezza Costo espresso in dollari USA (000.000), n = 252 singole aziende

30%

19% 19%

13%11%

8%

0%

5%

10%

15%

20%

25%

30%

35%

Livello di rete Livello delleapplicazioni

Livello dei dati Livello umano Livello fisico Livello host

$2.50

$2.11

$1.01 $1.22 $1.25

$0.37

$3.42

$2.32

$1.28 $1.30 $1.18 $0.86

$-

$0.50

$1.00

$1.50

$2.00

$2.50

$3.00

$3.50

$4.00

Rilevamento Recupero Contenimento Risposta ex post Indagine Gestione degliincidenti

Implementa tecnologie di intelligence di sicurezza

Non implementa tecnologie di intelligence di sicurezza


La Figura 19 mostra sette categorie di tecnologie di sicurezza in base a un sottoinsieme di aziende di riferimento. Ciascuna barra rappresenta la percentuale di aziende che hanno pienamente implementato ogni tecnologia di sicurezza data. Le prime tre categorie di tecnologia includono: strumenti di controllo degli accessi (50%), sistemi di intelligence di sicurezza (44%) e tecnologie di crittografia (43%). Figura 19. Sette tecnologie di sicurezza implementate Visione consolidata, n = 252 singole aziende

La Figura 20 illustra il denaro che le aziende possono risparmiare implementando ciascuna delle sette tecnologie di sicurezza. Ad esempio, le aziende che implementano sistemi di intelligence di sicurezza, in media, sostengono un sostanziale risparmio dei costi di USD1,9 milioni. Analogamente, le aziende che implementano strumenti di controllo degli accessi sostengono un risparmio medio dei costi di USD1,8 milioni. Si tenga presente che questi risparmi dei costi estrapolati sono indipendenti gli uni dagli altri e non possono essere sommati. Figura 20. Risparmi dei costi con l’implementazione delle sette tecnologie Costo espresso in dollari USA. Visione consolidata, n = 252 singole aziende

26%

39%

40%

42%

43%

44%

50%

0% 10% 20% 30% 40% 50% 60%

Strumenti di gestione automatica delle politiche

Controlli perimetrali avanzati e tecnologie di firewall

Uso estensivo di strumenti di prevenzione delleperdite di dati

Implementazione aziendale degli strumenti GRC

Implementazione estensiva delle tecnologie dicrittografia

Sistemi di intelligence di sicurezza

Strumenti di controllo degli accessi

$396,470

$813,557

$882,765

$1,573,427

$1,602,705

$1,789,024

$1,917,225

$- $1,000,000 $2,000,000 $3,000,000




Controlli perimetrali avanzati e tecnologie difirewall





I sistemi di intelligence di sicurezza presentano il maggior ritorno sull’investimento. La Figura 21 riassume la stima del ritorno sull’investimento (ROI) ottenuto dalle aziende per ciascuna delle sette categorie di tecnologie di sicurezza sopraindicate.8 Con il 23 percento, le aziende che implementano sistemi di intelligence di sicurezza, in media, sono state testimoni di un ROI decisamente superiore rispetto a tutte le altre categorie di tecnologia contenute nel presente studio. Sono inoltre significativi i risultati delle stime del ROI per le aziende che fanno ampio uso delle tecnologie di crittografia (21%) e di controlli perimetrali avanzati, come UTM, NGFW, IPS con feed di reputazione e altri ancora (20%). Il ROI medio stimato per tutte e sette le categorie di tecnologie di sicurezza è del 15 percento. Figura 21. ROI stimato per le sette categorie di tecnologie di sicurezza Visione consolidata, n = 252 singole aziende

8Il ritorno sull’investimento calcolato per ciascuna categoria di tecnologia di sicurezza è definito come: (1) guadagni ottenuti dall’investimento divisi per (2) costo dell’investimento (meno l’eventuale valore residuo). Stimiamo una durata triennale per tutte le categorie di tecnologia presentate. Pertanto, gli investimenti vengono semplicemente ammortizzati nel corso dei tre anni. I guadagni sono costituiti dal valore attuale netto dei risparmi previsti per la durata dell’investimento. Da tale importo sottraiamo le stime conservative per i costi di operazioni e manutenzione ogni anno. Il valore attuale netto utilizza il tasso primario più il tasso del 2% di sconto all’anno. Inoltre non abbiamo contemplato alcun valore residuo (zero).

6%

12%

12%

13%

20%

21%

23%

0% 5% 10% 15% 20% 25%





Controlli perimetrali avanzati e tecnologie difirewall




Alcune attività di governance possono ridurre il costo della criminalità informatica. La Figura 22 mostra sette attività di governance aziendale effettuate da un sottoinsieme di aziende di riferimento. Ciascuna barra rappresenta la percentuale di aziende che hanno pienamente effettuato ciascuna attività di governance indicata. Le tre principali attività di governance sono: impiego di personale di sicurezza esperto e nomina di un leader della sicurezza di alto livello (entrambi al 57%). La maggior parte delle aziende inoltre effettua certificazioni rispetto agli standard leader di settore (52%) e ottiene risorse pianificate sufficienti (51%) Figura 22. Sette attività di governance della sicurezza aziendale implementate Visione consolidata, n = 252 singole aziende

La Figura 23 illustra i risparmi di costi incrementali per ciascuna delle sette attività di governance aziendale. Come illustrato, le aziende che impiegano personale esperto hanno un risparmio medio sui costi della criminalità informatica pari a USD1,5 milioni e quelle che nominano un leader della sicurezza di alto livello riducono i costi di una media di USD1,3 milioni. Si tenga presente che questi risparmi dei costi estrapolati sono indipendenti gli uni dagli altri e non possono essere sommati. Figura 23. Risparmi dei costi con l’esecuzione di sette attività di governance della sicurezza aziendale Costo espresso in dollari USA. Visione consolidata, n = 252 singole aziende

42%

45%

49%

51%

52%

57%

57%

0% 10% 20% 30% 40% 50% 60%

Uso estensivo delle metriche di sicurezza

Sostanziale formazione e attività diconsapevolezza

Formazione di un consiglio di sicurezza alivello dirigenziale

Ottenimento di risorse di budget sufficienti

Certificazione in base agli standard leader disettore

Nomina di un leader della sicurezza di altolivello

Assunzione di personale di sicurezzacertificato/esperto

$549,620

$568,800

$876,504

$959,480

$1,150,951

$1,291,810

$1,458,736

$- $400,000 $800,000 $1,200,000 $1,600,000

Certificazione in base agli standard leader disettore

Formazione di un consiglio di sicurezza alivello dirigenziale

Uso estensivo delle metriche di sicurezza

Ottenimento di risorse di budget sufficienti

Sostanziale formazione e attività diconsapevolezza

Nomina di un leader della sicurezza di altolivello

Assunzione di personale di sicurezzacertificato/esperto


Parte 3. Quadro Lo scopo della presente ricerca è quello di fornire una linea guida sul costo che un attacco informatico di successo può comportare per un’organizzazione. Il nostro studio sul costo della criminalità informatica è unico nell’analisi delle attività relative ai sistemi e ai processi aziendali centrali che comportano una serie di spese associate alla risposta al crimine cibernetico da parte di un’azienda. Nel presente studio, definiamo un attacco avvenuto con successo come un attacco che termina con l’infiltrazione delle reti centrali o dei sistemi aziendali di un’impresa. Non include l’intera gamma di attacchi arrestati dai sistemi di difesa firewall di un’azienda. La Figura 24 presenta il quadro dei costi basati sulle attività utilizzato per il calcolo del costo medio della criminalità informatica. Il nostro metodo di riferimento cerca di estrapolare le esperienze e le conseguenze effettive degli attacchi informatici. Sulla base dei sondaggi rivolti a numerosi alti dirigenti di ciascuna organizzazione, abbiamo classificato i costi in due diversi flussi di costo: I costi relativi alla gestione del crimine informatico, o ciò che indichiamo come i centri di costo

interno delle attività. I costi relativi alle conseguenze dell’attacco informatico, o ciò che indichiamo come le conseguenze

esterne dell’attacco informatico.

Figura 24. Quadro dei costi dei crimini informatici

Rilevamento

Indagine ed escalation

Contenimento

Recupero

Risposta ex post

Perdita o furto di informazioni

Interruzione delle attività

Danni all’attrezzatura

Perdita di fatturato

Costi diretti, indiretti

e opportunità associati ai

crimini informatici

Centri di costo interno delle attività

Conseguenze e costi esterni


Come illustrato sopra, analizziamo i centri di costo interno in modo sequenziale, partendo dal rilevamento dell’incidente e terminando con la risposta finale o ex post all’incidente, che prevede la gestione di opportunità aziendali perse e interruzioni delle attività. In ciascuno dei centri di costo delle attività abbiamo chiesto ai partecipanti di fare una stima dei costi diretti, costi indiretti e costi opportunità. Sono definiti nel modo seguente:

Costo diretto: l’esborso diretto per il conseguimento di una data attività.

Costo indiretto: la quantità di tempo, sforzo e altre risorse organizzative impiegati, ma non in forma di esborso diretto.

Costo opportunità: il costo derivante dalle opportunità aziendali perse come conseguenza di un calo della reputazione a seguito dell’incidente.

I costi esterni, inclusi perdita di risorse di informazioni, interruzione delle attività, danni all’attrezzatura e perdita di fatturato, sono stati raccolti utilizzando metodi di “costi ombra”. I costi totali sono stati allocati a nove distinti vettori di attacco: virus, worms, cavalli di Troia (Trojan horse); malware; botnet; attacchi basati sul Web; phishing e social engineering; personale interno malintenzionato; dispositivi rubati o danneggiati; codici maligni (inclusa SQL injection); e Denial of Service.9 Il presente studio analizza le attività relative ai processi centrali che comportano una serie di spese associate agli attacchi cibernetici di un’azienda. I cinque centri di costo interno delle attività del nostro quadro includono:10 Rilevamento: Attività che consentono a un’organizzazione di rilevare e possibilmente impedire

in modo ragionevole gli attacchi informatici o le minacce avanzate. Ciò include i costi (spese generali) allocati di determinate tecnologie per il potenziamento della mitigazione o del rilevamento precoce.

Indagine ed escalation: Attività necessarie a svelare in modo accurato l’origine, l’ambito e la portata di uno o più incidenti. L’attività di escalation include anche le misure intraprese per organizzare una risposta di gestione iniziale.

Contenimento: Attività incentrate sull’arresto o la riduzione della gravità degli attacchi informatici o delle minacce avanzate. Queste includono la chiusura di vettori di attacco ad alto rischio, come applicazioni o endpoint non sicuri.

Recupero: Attività legate alla riparazione e al ripristino dei sistemi dell’organizzazione e dei processi aziendali centrali. Queste includono il ripristino di risorse di informazioni danneggiate e altre risorse IT (centri di dati).

Risposta ex post: Attività volte ad aiutare l’organizzazione a minimizzare i potenziali attacchi futuri. Includono i costi di contenimento delle interruzioni delle attività e delle perdite di informazioni, oltre all’aggiunta di nuove tecnologie e sistemi di controllo.

Oltre alle attività relative ai processi sopraindicate, le organizzazioni spesso subiscono conseguenze o costi esterni associati ai postumi degli attacchi avvenuti con successo, definiti come gli attacchi che riescono a infiltrare la rete o i sistemi aziendali dell’organizzazione. Pertanto, la nostra ricerca dimostra che quattro attività di costo generali associate a tali conseguenze esterne sono le seguenti: Costo delle perdite o dei furti di informazioni: Perdita o furto di informazioni sensibili o riservate

a seguito di un attacco informatico. Tali informazioni includono segreti commerciali, proprietà intellettuali (compresi i codici sorgente), informazioni sulla clientela e record dei dipendenti.

9 Riconosciamo che queste nove categorie di attacchi non sono interdipendenti e che non costituiscono un campione esaustivo. La classificazione di un dato attacco è stata effettuata dal ricercatore e deriva dai fatti raccolti durante la procedura di benchmarking. 10 I costi interni sono stati estrapolati utilizzando la manodopera (tempo) come surrogato dei costi diretti e indiretti. È stata anche utilizzata per l’allocazione di una componente di spesa generale per i costi fissi, come investimenti pluriennali nelle tecnologie.


Tale categoria di costo comprende anche il costo delle notifiche di violazione dei dati nel caso in cui vengano indebitamente acquisite informazioni personali.

Costo delle interruzioni delle attività: L’impatto economico del periodo di inattività o di interruzioni non programmate che impediscono all’organizzazione di raggiungere i propri requisiti di elaborazione dei dati.

Costo dei danni all’attrezzatura: Il costo per il ripristino dell’attrezzatura e altre risorse IT a

seguito di un attacco informatico alle risorse di informazioni e all’infrastruttura fondamentale. Perdita di fatturato: La perdita di clienti (abbandono) e altri stakeholder a causa di ritardi o

guasti di sistema derivanti da un attacco informatico. Per estrapolare tale costo utilizziamo un metodo di “costi ombra” che si basa sul Lifetime Value di un cliente medio, come definito per ciascuna organizzazione partecipante.

Parte 4. Benchmarking Lo strumento di benchmarking del costo della criminalità informatica è progettato per raccogliere informazioni descrittive da IT, sicurezza delle informazioni e altri individui chiave riguardo i costi effettivi sostenuti in modo diretto o indiretto a seguito di attacchi informatici effettivamente rilevati. Il nostro metodo di costo non richiede che i soggetti forniscano gli effettivi risultati contabili ma si fonda su stime ed estrapolazioni di dati dei sondaggi relativi a un periodo di quattro settimane. La stima dei costi si basa su sondaggi diagnostici riservati con partecipanti chiave all’interno di ciascun’organizzazione di riferimento. La Tabella 3 riporta la frequenza degli individui che hanno preso parte allo studio globale di quest’anno in base alla loro disciplina funzionale approssimativa. Come si può notare, lo studio di quest’anno su sette paesi ha compreso un totale di 2.128 sondaggi per le 252 aziende di riferimento.11

Tabella 3. Aree funzionali dei partecipanti intervistati Freq. Percent.%

Sicurezza IT 377 18%

Operazioni IT 366 17%

Conformità 211 10%

Gestione dei centri di dati 187 9%

Contabilità e finanza 124 6%

Operazioni di rete 121 6%

Legale 113 5%

Gestione dei rischi IT 93 4%

Sicurezza fisica/Gestione strutture 90 4%

Risorse umane 86 4%

Audit interno o IT 80 4%

Sviluppo delle applicazioni 64 3%

Gestione dei rischi aziendali 62 3%

Gestione approvvigionamento/fornitori 61 3%

Sistemi di controllo industriale 51 2%

Garanzia di qualità 42 2%

Totale 2.128 Sondaggi per azienda in media 8,44

11Lo studio dell’anno scorso ha coinvolto 2.081 individui per una media di 8,1 sondaggi per ciascun’azienda di riferimento.


I metodi di raccolta dei dati non comprendono le effettive informazioni di contabilità ma si fondano sulla stima numerica basata sulle conoscenze e le competenze di ciascun partecipante. All’interno di ciascuna categoria, il processo di stima dei costi si è sviluppato in due fasi. Dapprima lo strumento di benchmarking ha richiesto agli individui una valutazione delle stime dei costi diretti per ciascuna categoria di costo, contrassegnando una variabile di range definita nel seguente formato di linea numerica.

Come utilizzare la linea numerica: La linea numerica fornita per ciascuna categoria di costo delle violazioni dei dati costituisce un modo per ottenere la migliore stima dell’importo di esborsi, costi di manodopera e spese generali sostenute. Contrassegnate un solo punto in una posizione compresa tra i limiti inferiore e superiore definiti sopra. Potete ripristinare i limiti inferiore e superiore della linea numerica in qualsiasi momento durante il processo di sondaggio.

Pubblicate qui la vostra stima dei costi diretti per [categoria di costo presentata]

Limite inf. ______________________________________|_____________________________

Limite sup.

Il valore numerico ottenuto dalla linea dei numeri piuttosto che da una stima del punto per ciascuna categoria di costo presentata ha permesso di conservare la riservatezza e ha garantito un tasso di risposta più elevato. Lo strumento di benchmarking ha richiesto inoltre agli operatori di fornire una seconda stima per i costi indiretti e opportunità separatamente. Per ciascuna organizzazione sono state poi compilate stime dei costi sulla base della grandezza relativa di tali costi in confronto a un costo diretto all’interno di una categoria data. Infine, abbiamo posto domande generali per ottenere informazioni aggiuntive, comprese le perdite di fatturato stimate a seguito del crimine informatico. Le dimensioni e l’ambito degli elementi del sondaggio sono stati limitati alle categorie di costo conosciute che spaziano attraverso diversi settori industriali. Nella nostra esperienza, un sondaggio incentrato sui processi ottiene un tasso di risposta più elevato e una migliore qualità dei risultati. Abbiamo inoltre utilizzato uno strumento cartaceo, anziché un sondaggio elettronico, per fornire maggiori garanzie di riservatezza. Per mantenere una completa riservatezza, lo strumento del sondaggio non ha raccolto alcun tipo di informazioni specifiche sulle aziende. I materiali in oggetto non contenevano alcun codice di tracciamento o altri metodi che potessero permettere il collegamento delle risposte alle aziende partecipanti. Abbiamo limitato accuratamente gli elementi alle sole attività di costo che abbiamo ritenuto fondamentali per la misurazione del costo della criminalità informatica, al fine di mantenere gestibili le dimensioni dello strumento di benchmarking. Sulla base delle discussioni con gli esperti, il set finale di elementi è stato incentrato su una serie limitata di attività di costi diretti o indiretti. Dopo la raccolta delle informazioni di riferimento, ciascuno strumento è stato accuratamente analizzato in termini di coerenza e completezza. Nell’ambito del presente studio, alcune aziende sono state scartate a causa di risposte incomplete, incoerenti o vuote. Le ricerche sul campo sono state effettuate nel corso di diversi mesi e si sono concluse in agosto 2015. Al fine di preservare la coerenza per tutte le aziende di riferimento, le informazioni raccolte sull’esperienza in fatto di crimini informatici da parte delle organizzazioni sono state limitate a quattro settimane consecutive. Questo intervallo di tempo non ha coinciso necessariamente per tutte le organizzazioni che hanno partecipato allo studio. I costi diretti, indiretti e opportunità della criminalità informatica estrapolati sono stati annualizzati dividendo il costo totale pervenuto per quattro settimane (rapporto = 4/52 settimane).


Parte 5. Campione di riferimento Il reclutamento per lo studio annuale ha avuto inizio con una lettera personalizzata e una successiva telefonata a 1.502 contatti per una possibile partecipazione e 252 organizzazioni hanno concesso a Ponemon Institute di effettuare l’analisi di riferimento. Il Diagramma circolare 1 riassume l’attuale (esercizio 2015) campione di aziende partecipanti sulla base di 18 classificazioni del settore primario12. Come si può notare, i servizi finanziari (16%) rappresentano il segmento maggiore. Essi includono società di retail banking, assicurazioni, brokeraggio ed emittenti di carte di credito. Il secondo e terzo dei segmenti maggiori includono industria (12%) e tecnologia (11%). Il segmento della tecnologia comprende le aziende di software e gestione IT. Diagramma circolare 1. Settori industriali delle organizzazioni partecipanti Visione consolidata, n = 252 singole aziende

12 La categoria “Altro” include i settori automobilistico, farmaceutico, agricolo e della difesa

16%

12%

11%

11%10%

9%

7%

6%

4%

3%

3%2%

2% 2% 3% Servizi finanziari

Industriale

Tecnologia

Settore pubblico

Servizi

Retail

Prodotti al consumo

Servizi pubblici ed energia

Trasporti

Sanitario

Media

Comunicazioni

Istruzione e ricerca

Ospitalità

Altro


Il Diagramma circolare 2 indica la frequenza percentuale delle aziende sulla base del numero di terminali aziendali connessi a reti o sistemi. La nostra analisi del costo della criminalità informatica riguarda unicamente le organizzazioni con un numero approssimativo minimo di 600 terminali. Il numero maggiore di terminali aziendali nello studio globale 2015 supera la quota di 79.000.

Diagramma circolare 2. Distribuzione delle organizzazioni partecipanti per terminali aziendali (dimensioni) Visione consolidata, n = 252 singole aziende

12%

18%

25%

20%

14%

12%

< 2.000

Da 2.000 a 5.000

Da 5.001 a 10.000

Da 10.001 a 15.000

Da 15.001 a 25.000

> 25.000


Parte 6. Limitazioni e conclusioni Il presente studio utilizza un metodo di benchmarking riservato e proprietario, implementato con successo nelle precedenti ricerche di Ponemon Institute. Tuttavia, vi sono limitazioni inerenti alla ricerca di benchmarking che devono essere tenute attentamente in considerazione prima di trarre eventuali conclusioni dai risultati. Risultati non statistici: Lo scopo del presente studio è descrittivo, piuttosto che di inferenza

normativa. Il presente studio si basa su un campione rappresentativo, non statistico, di organizzazioni, principalmente di grandi dimensioni, che hanno subito uno o più attacchi informatici nel corso di un periodo di quattro settimane. Data la natura del nostro piano di campionamento, non è possibile applicare a tali dati inferenze statistiche, margini di errore e intervalli di sicurezza.

Non risposta: Gli attuali risultati si basano su un piccolo campione rappresentativo di casi

di studio completati. Sono state inviate lettere iniziali relative al sondaggio di benchmarking a un gruppo target di organizzazioni che si presumeva avessero subito uno o più attacchi informatici. Un totale di 252 aziende ha fornito sondaggi di riferimento utilizzabili. La distorsione causata dalle mancate risposte non è stata testata, pertanto esiste la possibilità che le aziende che non hanno partecipato siano sostanzialmente diverse in termini di metodi utilizzati per la gestione del processo di contenimento e recupero dei crimini informatici, così come dei costi inerenti.

Distorsione causata dal quadro di campionamento: Dal momento che il nostro quadro di

campionamento è discrezionale, sulla qualità dei risultati influisce il grado di rappresentatività della popolazione delle aziende oggetto dello studio. Noi riteniamo che l’attuale quadro di campionamento presenti una distorsione verso le aziende dotate di programmi di sicurezza delle informazioni più mature.

Informazioni specifiche dell’azienda: Le informazioni di riferimento sono sensibili e riservate.

Pertanto, lo strumento attuale non contempla informazioni identificative delle aziende. Consente inoltre agli individui di utilizzare variabili categoriche di risposta per la divulgazione delle informazioni demografiche relative all’azienda e alle categorie industriali. La classificazione dei settori si fonda sui risultati autodichiarati.

Fattori non misurati: Al fine di mantenere il sondaggio conciso e pertinente, si è deciso di

omettere altre importanti variabili dalle nostre analisi, come i principali trend e le caratteristiche organizzative. In questa fase non è possibile stimare la misura in cui le variabili omesse possano spiegare i risultati di benchmarking.

Risultati dei costi stimati. La qualità del sondaggio di ricerca si basa sull’integrità delle

risposte riservate ricevute dalle aziende. Sebbene sia possibile incorporare determinati controlli e bilanci nel processo di sondaggio, non è possibile escludere completamente la possibilità che i partecipanti non abbiano fornito risposte veritiere. Inoltre, l’utilizzo di una tecnica di stima dei costi (definita come metodo dei “costi ombra”) anziché di dati dei costi effettivi può comportare significative distorsioni nei risultati presentati.


In caso di eventuali domande o commenti relativi al presente rapporto di ricerca o se desiderate altre copie del documento (compresa l’autorizzazione a citare o riutilizzare questo rapporto), contattateci per posta, telefono o e-mail:

Ponemon Institute LLC All’attenzione di: Research Department

2308 US 31 North Traverse City, Michigan 49629 USA

1.800.887.3118 [email protected]

Ponemon Institute

Avanzamento della gestione responsabile delle informazioni Ponemon Institute si dedica alla ricerca indipendente e alla formazione per l’avanzamento delle pratiche di gestione responsabile delle informazioni e della privacy all’interno di aziende e organi di governo. La nostra missione è effettuare studi empirici di alta qualità relativi a questioni critiche che influenzano la gestione e la sicurezza delle informazioni sensibili su persone e organizzazioni. In qualità di membri del Consiglio delle organizzazioni americane di ricerca mediante sondaggi (Council of American Survey Research Organizations, CASRO), noi sosteniamo rigorosi standard di riservatezza dei dati, privacy e ricerca etica. Non raccogliamo alcuna informazione che possa identificare personalmente gli individui intervistati (o informazioni identificative delle aziende nelle nostre ricerche aziendali). Inoltre, abbiamo implementato rigorosi standard di qualità, per garantire che ai partecipanti ai nostri sondaggi non vengano poste domande non rilevanti, non pertinenti o improprie.

Studio sul costo della criminalità informatica 2015: Studio globale. Studio di riferimento di...

Software

Transcript of Studio sul costo della criminalità informatica 2015: Studio globale. Studio di riferimento di...