Per sottolineare l’importanza della security awareness occorre riadattare un popolare adagio: “Se credi che l’awareness ti costi troppo, è perché non hai idea di quanto ti costerà non averla”. Perché stimare il costo di un programma di awareness come si deve è semplice, basta un preventivo, mentre comprendere le potenziali perdite economiche che derivano da un attacco è molto complesso.
Il costo di un attacco informatico? Anche milioni di euro
L’esigenza della security awareness parte proprio da qui. Prendere consapevolezza dei rischi derivati dal cybercrime sulla base di considerazioni economiche. Perché sono costi e guadagni a muovere il business di un’azienda. E quindi, per parlare di security awareness, occorre parlare anche di dati. Alcuni dei migliori arrivano da una ricerca di IBM e Ponemon Institute, che mostra che in Italia sono necessari ben 229 giorni per rilevare un attacco informatico e 80 per arrivare a contenerlo. Tradotto in termini pratici: in media, un malware ha 229 giorni di tempo per fare danni, che eventualmente possono estendersi per altri 80.
“Fare danni” può sembrare un concetto ancora troppo aleatorio, ma il medesimo rapporto si affretta a stimare che la perdita di ogni singolo dato ha un costo medio di 125 euro. È l’unione di queste informazioni a fornire una stima piuttosto precisa del costo di un attacco informatico che va a buon fine. Nella migliore delle ipotesi, si parla di qualche decina di migliaia di euro, ma è facile entrare nell’ordine delle centinaia se non, addirittura, dei milioni. Ma cosa c’entra, tutto questo, con la security awareness?
Il ruolo del social engineering e la security awarness
Il punto di giunzione tra costo di un attacco informatico e la security awareness arriva considerando i dati relativi al ruolo del social engineering nel cyber-crime. L’ingegneria sociale è parte integrante di quasi tutti gli attacchi informatici, lavorando di concerto con exploit e altri strumenti tecnologici a disposizione dei criminali informatici. E se le vulnerabilità si risolvono con aggiornamenti e adeguate protezione, l’unico modo per fermare o mitigare l’ingegneria sociale è proprio la security awareness.
Stando a Verizon, il 33% delle intrusioni informatiche in ambito aziendale, nel mondo, è dovuta al solo utilizzo di social engineering. Tuttavia, anche quel 28% imputabile a malware sfrutta l’ingegneria sociale come vettore di diffusione dei software malevoli. Da qui, ricaviamo che più di un attacco su due si evita con la security awareness. E senza investire su questo versante, quindi, cosa si rischia? Molto, considerando che, secondo una ricerca di Security Intelligence, il costo medio di un’intrusione informatica ammonta a 3.92 milioni di dollari. Riferendosi invece ai dati, perdere il contenuto di un singolo campo di un database, a causa di un breach, costa in media 150 dollari.
L’importanza della security awareness
Non fare security awareness, quindi, ha dei costi elevatissimi. Si tratta di costi tangibili, spesso ignorati fino a quando non si diventa vittime di attacchi informatici. A quel punto, tra attività di incident response, analisi e ripristino dei sistemi, i costi arrivano a essere decine di volte più elevati di quelli di un programma continuo di security awareness. Un programma strutturato in modo da accompagnare il dipendente in un percorso che lo metta di fronte a situazione reali, per tastare con mano la facilità con cui si diventa vittime e, al tempo stesso, rendersi conto dei danni che un semplice clic può comportare. Senza dare mai nulla per scontato: il 30% dei messaggi di phishing, oggi, sono aperti senza alcun sospetto, tanto che il 12% di chi li consulta decide anche di aprire eventuali allegati malevoli. E da qui, a quei 3.92 milioni di dollari, il passo è breve.
