Discussione Rischi economici violazione sito web
- Autore discussione -marco-
- Data d'inizio
- Stato
Buongiorno a tutti,
vi chiedo una mano per una ricerca in cui mi sono imbattuto.
L'obiettivo consiste nel sensibilizzare l'area manageriale dell'azienda nell'investire maggiormente nello sviluppo di codice sicuro, per farlo vorrei riuscire a mostrare i rischi economici che comporta una violazione di dati con eventuale data breach o danneggiamento dell'archivio.
Oltre alle multe legate al GDPR, conoscete quali sono gli altri rischi economici misurabili? Per esempio, un cliente può rivalersi sull'azienda chiedendo un risarcimento?
Avete in mente altre casistiche?
Grazie mille
vi chiedo una mano per una ricerca in cui mi sono imbattuto.
L'obiettivo consiste nel sensibilizzare l'area manageriale dell'azienda nell'investire maggiormente nello sviluppo di codice sicuro, per farlo vorrei riuscire a mostrare i rischi economici che comporta una violazione di dati con eventuale data breach o danneggiamento dell'archivio.
Oltre alle multe legate al GDPR, conoscete quali sono gli altri rischi economici misurabili? Per esempio, un cliente può rivalersi sull'azienda chiedendo un risarcimento?
Avete in mente altre casistiche?
Grazie mille
Dovrebbe essere compito del CISO (Chief Information Security Officer) stilare report riguardanti il Risk Assessment informatico aziendale. Questo perché sono necessarie una serie di conoscenze sia in ambito legale che della infrastruttura aziendale e ci sono interi corsi per imparare ad identificare i possibili rischi. Giusto per fare un esempio se avete un server con dei database importanti di cui viene fatto il backup settimanalmente, il CISO deve quantificare nel suo rapporto i possibili danni in caso di compromissione (es. danno di immagine, perdita di clienti, leak di segreti aziendali e relativo danno di concorrenza, periodo offline per ripristinare i sistemi, tempo di ricostruzione dei dati persi dall'ultimo backup, guadagni mancati perché troppo occupati a recuperare...). Ogni azienda è impattata in modo diverso, ad esempio un azienda di cybersec risentirebbe molto il danno di immagine, invece un azienda di logistica di magazzini magari risentirebbe di più dal periodo offline.
Grazie mille JunkCoder, nel mio caso vorrei che gli sviluppatori potessero dedicare il giusto tempo per sviluppare codice sicuro. Purtroppo, non essendo un'attività che porta ricavi, spesso non viene prioritizzata.
Dato che è vero che non porta ricavi, ma porta probabili perdite, mi vorrei concentrare su queste ultime portando dei numeri indicativi che possano elevare l'attenzione al tema.
Chiaro che il danno di immagine non è facilmente misurabile facendolo diventare un rischio accettabile.
Dato che è vero che non porta ricavi, ma porta probabili perdite, mi vorrei concentrare su queste ultime portando dei numeri indicativi che possano elevare l'attenzione al tema.
Chiaro che il danno di immagine non è facilmente misurabile facendolo diventare un rischio accettabile.
Certo scrivere codice sicuro è molto importante, ma in termini statistici è molto più probabile che entrino nei vostri sistemi da qualche applicativo comune non aggiornato o tramite phishing, per quello è molto importante fare Risk Assessment: devi dare per scontato che l'attacker sia già entrato in modo da avere chiaro in mente i danni che può fare da quella posizione, magari stabilendo delle procedure che possano limitarlo in cosa può vedere o modificare.
Detto questo non ti resta che proporre un corso per gli sviluppatori, se proprio non vogliono non c'è niente che tu possa fare, non esistono cifre approssimative che puoi presentargli, anche perché non sai quanto sia "insicuro" il codice scritto, e nemmeno l'impatto che le vulnerabilità possono avere nel caso specifico di quell'azienda.
Detto questo non ti resta che proporre un corso per gli sviluppatori, se proprio non vogliono non c'è niente che tu possa fare, non esistono cifre approssimative che puoi presentargli, anche perché non sai quanto sia "insicuro" il codice scritto, e nemmeno l'impatto che le vulnerabilità possono avere nel caso specifico di quell'azienda.
In base al tipo di azienda è importante anche tenere in considerazione il danno di immagine, che per aziende quotate in borsa o aventi azionisti/sponsor si traduce in perdite economiche, mentre per aziende che offrono servizi si presenta come potenziale diminuzione dei futuri clienti (e di conseguenza meno soldi).
In base alla tipologia di azienda anche un semplice dataleak può trasformarsi in un danno economico: immagina che vengano rubati dati progettuali su una nuova tecnologia o una nuovo progetto (un motore, per esempio). Tali dati potrebbero essere rivenduti alla concorrenza e, potenzialmente, rubare una fetta di clienti o futuri tali.
Così su due piedi non mi viene in mente altro, nel caso aggiungerò di seguito. Spero di averti dato qualche input in più
In base alla tipologia di azienda anche un semplice dataleak può trasformarsi in un danno economico: immagina che vengano rubati dati progettuali su una nuova tecnologia o una nuovo progetto (un motore, per esempio). Tali dati potrebbero essere rivenduti alla concorrenza e, potenzialmente, rubare una fetta di clienti o futuri tali.
Così su due piedi non mi viene in mente altro, nel caso aggiungerò di seguito. Spero di averti dato qualche input in più
Ultima modifica:
Il CISO (o chi per lui - Risk Manager e Response Manager) si dovrebbe occupare, tra le varie cose, anche della Cyber Risk Management.
Cosa comprende?
Quello che potresti provare a dire a chi di competenza è che, in caso di audit esterno, se i vostri sistemi non sono compliance alle normative internazionali ISO/IEC, potreste essere soggetti a sanzioni amministrative.
Cosa comprende?
- BIA - Business Impact Analysis
- RA - Cyber Risk Assessment
Quello che potresti provare a dire a chi di competenza è che, in caso di audit esterno, se i vostri sistemi non sono compliance alle normative internazionali ISO/IEC, potreste essere soggetti a sanzioni amministrative.
Buongiorno a tutti,
grazie mille per tutte le risposte, sono sicuramente d'aiuto.
Provo a restringere un po' la discussione: in azienda sono già curati tutti gli aspetti dedicati alla sicurezza con particolare attenzione alla formazione dei dipendenti ed all'utilizzo di software di terze parti.
Gli sviluppatori inoltre sono competenti in materia ed in grado di sviluppare codice sicuro.
Sviluppare dei software sicuri però richiede più tempo del "basta che funzioni"
è necessario sottoporre i software a dei controlli di qualità, effettuare molti test automatici, etc.
Dato che c'è davvero molto lavoro, chi decide le priorità non è spronato a dedicare del tempo a queste attività, nella maggior parte dei casi, invece, finito un lavoro si passa al prossimo.
Il mio obiettivo consiste nel sensibilizzare queste figure aziendali che si occupano di prioritizzare le attività e di conseguenza di gestire il tempo disponibile dei team, ad investire del tempo nella qualità e nella sicurezza dei software sviluppati da noi.
Per questo motivo vorrei esprimermi prima di tutto con dei numeri, per averli chiaramente necessito di rischi economici misurabili.
Avete qualche idea?
Grazie ancora
grazie mille per tutte le risposte, sono sicuramente d'aiuto.
Provo a restringere un po' la discussione: in azienda sono già curati tutti gli aspetti dedicati alla sicurezza con particolare attenzione alla formazione dei dipendenti ed all'utilizzo di software di terze parti.
Gli sviluppatori inoltre sono competenti in materia ed in grado di sviluppare codice sicuro.
Sviluppare dei software sicuri però richiede più tempo del "basta che funzioni"
è necessario sottoporre i software a dei controlli di qualità, effettuare molti test automatici, etc.Dato che c'è davvero molto lavoro, chi decide le priorità non è spronato a dedicare del tempo a queste attività, nella maggior parte dei casi, invece, finito un lavoro si passa al prossimo.
Il mio obiettivo consiste nel sensibilizzare queste figure aziendali che si occupano di prioritizzare le attività e di conseguenza di gestire il tempo disponibile dei team, ad investire del tempo nella qualità e nella sicurezza dei software sviluppati da noi.
Per questo motivo vorrei esprimermi prima di tutto con dei numeri, per averli chiaramente necessito di rischi economici misurabili.
Avete qualche idea?
Grazie ancora
Ho appena visto che è stato pubblicato questo articolo su securityaffairs, e secondo me sono delle buone stime (assieme a ottime argomentazioni) da far vedere ai piani alti:
Have board directors any liability for a cyberattack against their company?
Are the directors of a company hit by a cyberattack liable for negligence in failing to take steps to limit the risk. As the risk of a cyberattack grows, it is pivotal to consider whether the directors of a company hit by a ransomware attack, for example, can bear any liability for negligence in...
securityaffairs.co
- Stato