Discussione Rischi economici violazione sito web

-marco-

Utente Iron
27 Ottobre 2022
4
1
1
4
Buongiorno a tutti,

vi chiedo una mano per una ricerca in cui mi sono imbattuto.
L'obiettivo consiste nel sensibilizzare l'area manageriale dell'azienda nell'investire maggiormente nello sviluppo di codice sicuro, per farlo vorrei riuscire a mostrare i rischi economici che comporta una violazione di dati con eventuale data breach o danneggiamento dell'archivio.

Oltre alle multe legate al GDPR, conoscete quali sono gli altri rischi economici misurabili? Per esempio, un cliente può rivalersi sull'azienda chiedendo un risarcimento?
Avete in mente altre casistiche?

Grazie mille
 

JunkCoder

Moderatore
5 Giugno 2020
1,111
22
962
458
Dovrebbe essere compito del CISO (Chief Information Security Officer) stilare report riguardanti il Risk Assessment informatico aziendale. Questo perché sono necessarie una serie di conoscenze sia in ambito legale che della infrastruttura aziendale e ci sono interi corsi per imparare ad identificare i possibili rischi. Giusto per fare un esempio se avete un server con dei database importanti di cui viene fatto il backup settimanalmente, il CISO deve quantificare nel suo rapporto i possibili danni in caso di compromissione (es. danno di immagine, perdita di clienti, leak di segreti aziendali e relativo danno di concorrenza, periodo offline per ripristinare i sistemi, tempo di ricostruzione dei dati persi dall'ultimo backup, guadagni mancati perché troppo occupati a recuperare...). Ogni azienda è impattata in modo diverso, ad esempio un azienda di cybersec risentirebbe molto il danno di immagine, invece un azienda di logistica di magazzini magari risentirebbe di più dal periodo offline.
 

-marco-

Utente Iron
27 Ottobre 2022
4
1
1
4
Grazie mille JunkCoder, nel mio caso vorrei che gli sviluppatori potessero dedicare il giusto tempo per sviluppare codice sicuro. Purtroppo, non essendo un'attività che porta ricavi, spesso non viene prioritizzata.
Dato che è vero che non porta ricavi, ma porta probabili perdite, mi vorrei concentrare su queste ultime portando dei numeri indicativi che possano elevare l'attenzione al tema.
Chiaro che il danno di immagine non è facilmente misurabile facendolo diventare un rischio accettabile.
 

JunkCoder

Moderatore
5 Giugno 2020
1,111
22
962
458
Certo scrivere codice sicuro è molto importante, ma in termini statistici è molto più probabile che entrino nei vostri sistemi da qualche applicativo comune non aggiornato o tramite phishing, per quello è molto importante fare Risk Assessment: devi dare per scontato che l'attacker sia già entrato in modo da avere chiaro in mente i danni che può fare da quella posizione, magari stabilendo delle procedure che possano limitarlo in cosa può vedere o modificare.

Detto questo non ti resta che proporre un corso per gli sviluppatori, se proprio non vogliono non c'è niente che tu possa fare, non esistono cifre approssimative che puoi presentargli, anche perché non sai quanto sia "insicuro" il codice scritto, e nemmeno l'impatto che le vulnerabilità possono avere nel caso specifico di quell'azienda.
 

0xbro

Super Moderatore
24 Febbraio 2017
4,148
162
3,182
1,645
In base al tipo di azienda è importante anche tenere in considerazione il danno di immagine, che per aziende quotate in borsa o aventi azionisti/sponsor si traduce in perdite economiche, mentre per aziende che offrono servizi si presenta come potenziale diminuzione dei futuri clienti (e di conseguenza meno soldi).

In base alla tipologia di azienda anche un semplice dataleak può trasformarsi in un danno economico: immagina che vengano rubati dati progettuali su una nuova tecnologia o una nuovo progetto (un motore, per esempio). Tali dati potrebbero essere rivenduti alla concorrenza e, potenzialmente, rubare una fetta di clienti o futuri tali.

Così su due piedi non mi viene in mente altro, nel caso aggiungerò di seguito. Spero di averti dato qualche input in più
 

Not an engineer

Moderatore
31 Ottobre 2011
2,486
96
1,107
949
Ultima modifica:
Il CISO (o chi per lui - Risk Manager e Response Manager) si dovrebbe occupare, tra le varie cose, anche della Cyber Risk Management.
Cosa comprende?
  • BIA - Business Impact Analysis
è un processo che serve per determinare e valutare i possibili impatti sul business. L'analisi prende in input la triade CIA.
  • RA - Cyber Risk Assessment
è un processo che serve per valutare le minacce e le vuln. L'assessment comprende anche i remediation plan.

Quello che potresti provare a dire a chi di competenza è che, in caso di audit esterno, se i vostri sistemi non sono compliance alle normative internazionali ISO/IEC, potreste essere soggetti a sanzioni amministrative.
 

-marco-

Utente Iron
27 Ottobre 2022
4
1
1
4
Buongiorno a tutti,

grazie mille per tutte le risposte, sono sicuramente d'aiuto.

Provo a restringere un po' la discussione: in azienda sono già curati tutti gli aspetti dedicati alla sicurezza con particolare attenzione alla formazione dei dipendenti ed all'utilizzo di software di terze parti.
Gli sviluppatori inoltre sono competenti in materia ed in grado di sviluppare codice sicuro.
Sviluppare dei software sicuri però richiede più tempo del "basta che funzioni" :) è necessario sottoporre i software a dei controlli di qualità, effettuare molti test automatici, etc.
Dato che c'è davvero molto lavoro, chi decide le priorità non è spronato a dedicare del tempo a queste attività, nella maggior parte dei casi, invece, finito un lavoro si passa al prossimo.
Il mio obiettivo consiste nel sensibilizzare queste figure aziendali che si occupano di prioritizzare le attività e di conseguenza di gestire il tempo disponibile dei team, ad investire del tempo nella qualità e nella sicurezza dei software sviluppati da noi.
Per questo motivo vorrei esprimermi prima di tutto con dei numeri, per averli chiaramente necessito di rischi economici misurabili.
Avete qualche idea?

Grazie ancora
 

0xbro

Super Moderatore
24 Febbraio 2017
4,148
162
3,182
1,645
Ho appena visto che è stato pubblicato questo articolo su securityaffairs, e secondo me sono delle buone stime (assieme a ottime argomentazioni) da far vedere ai piani alti:

To indicate the size of the cyber risk to companies, there is, on average, a cyber-attack every 39 seconds, which does not mean that every attack is successful, but that there is an attempt to access companies’ computer systems with that frequency.
...
According to research conducted by IBM, the average cost to companies of a data breach in 2022 is US$ 4.35 million, which increases to US$ 4.54 in the case of ransomware attacks. Of course, this amount is simply an estimate, and the average cost is higher in certain jurisdictions, such as the United States, where it is close to US$ 10 million, while in Italy, it is in line with the average.