Il costo di una violazione della sicurezza del sito Web WordPress

Pubblicato: 2022-05-25

Una violazione della sicurezza può essere costosa. Molti studi e statistiche stimano la media di una violazione della sicurezza in milioni di dollari. Questa cifra, tuttavia, non significa molto senza contesto. In effetti, può essere complicato ricavare un costo medio per una violazione della sicurezza. Le complicazioni derivano dal fatto che entrano in gioco molti fattori. I fattori includono le circostanze della violazione, la sua portata e il tipo di dati che gli aggressori hanno rubato.

Gli amministratori di WordPress e i proprietari di siti Web potrebbero sentirsi inclini a minimizzare i rischi di una violazione della sicurezza. Dopotutto, c'è un solo sito Web da proteggere, ed è abbastanza facile con una password complessa, giusto?

In realtà, le cose sono leggermente più complesse. WordPress non funziona nel vuoto e deve fare affidamento su altri sistemi per funzionare. Il numero di sistemi che rientrano nelle tue competenze dipende in gran parte dal tuo piano di hosting. In ogni caso, sarebbe saggio riconoscere la presenza di diversi sistemi e comportare qualche rischio, per quanto minimo possa essere. Dopotutto, anche i provider di hosting affidabili subiscono violazioni.

Questo articolo elencherà i costi più significativi associati a una violazione della sicurezza, con particolare attenzione ai siti Web e agli amministratori di WordPress. Esamineremo anche i fattori che in genere influiscono sui costi per aiutarti a capire quali sono i tuoi rischi e i livelli di esposizione in caso di violazione della sicurezza.

Nota: per ogni evenienza, leggi questa guida per verificare se il tuo sito Web WordPress è stato violato.

Fattori

Questi sono alcuni dei fattori principali da considerare quando si stima il costo di una violazione della sicurezza. Come mostrerà la sezione seguente, ogni fattore può anche avere molte variabili, che possono variare ampiamente i costi effettivi. In ogni caso, rappresentano un buon punto di partenza.

Che tipo di dati sono stati compromessi?

Il primo fattore che dobbiamo considerare è il tipo di dati che è stato compromesso. Ciò è particolarmente vero se si tratta di dati personali. Se i dati personali sono stati rubati, dovresti anche considerare se appartengono a dipendenti, clienti o entrambi poiché ciò influirà sui costi.

La prossima cosa che dovrai guardare è che tipo di dati personali sono stati rubati. Ad esempio, se hai un negozio eCommerce e le informazioni sulla carta di credito o i dati sanitari sono stati compromessi, i costi salirebbero alle stelle. Questi dati sono molto personali e possono avere ripercussioni negative sulle persone colpite dalla violazione della sicurezza.

Quante persone sono state colpite?

Anche il numero di persone interessate dalla violazione influirà sui costi. Alcuni obblighi legali e di conformità entrano in vigore anche una volta superata una soglia; tuttavia, questo varia da una giurisdizione all'altra.

Come è avvenuta la violazione?

Capire come si è verificata la violazione è un altro fattore cruciale che può contribuire al costo. Questo aiuterà a determinare se la violazione è dovuta a negligenza o meno. Se la negligenza ha avuto un ruolo nella violazione, i costi tendono a salire.

È questo il primo incidente?

Gli incidenti successivi tendono a comportare un prezzo più alto rispetto alle prime violazioni. I due principali fattori di costo qui sono le multe e i costi reputazionali.

Farà notizia?

Se è probabile che la violazione della sicurezza faccia notizia, puoi aspettarti un aumento dei costi a seconda che colpirà le notizie regionali, locali, nazionali o internazionali.

Dove risiedi?

Anche il luogo in cui si trova la società o l'entità che gestisce il sito Web avrà un impatto diretto sui costi. Ciò è dovuto principalmente a eventuali requisiti legali e/o obblighi che la legge all'interno della giurisdizione impone in tali casi.

Costi

Ora che abbiamo coperto i fattori, possiamo esaminare i costi maggiori tipicamente associati a una violazione dei dati.

Legale

Un avvocato e, in alcuni casi, un coach delle violazioni sono attori essenziali che aiutano le aziende e gli amministratori di WordPress a navigare tra le ramificazioni spesso complesse di una violazione dei dati. Sono anche utili quando si tratta di multe, potenziali azioni legali e molti altri costi associati a una violazione dei dati.

Forense

Le squadre forensi aiutano a determinare i percorsi da seguire. Se hai un negozio di eCommerce come WooCommerce, puoi anche aspettarti che i gestori di carte richiedano un team forense specializzato per valutare cosa è successo. I costi sono spesso a carico dell'azienda che ha subito la violazione.

PR e gestione delle crisi

A seconda dell'entità della violazione, un team di gestione della crisi e una persona o un team di pubbliche relazioni possono aiutare a contenere le ricadute. La verità è che una violazione può portare a danni reputazionali e perdite di entrate anche in futuro, motivo per cui è essenziale controllare.

Notifica di violazione

La notifica di violazione è un requisito di legge negli Stati Uniti. Le regole variano a seconda dello stato e dell'entità della violazione.

Servizio Clienti

In molti casi, le aziende sono tenute a fornire ai propri clienti un numero verde/numero verde che possono chiamare per ulteriori informazioni sulla violazione. Qui è necessario pensare se si dispone di una capacità esistente per tali chiamate o se è necessario esternalizzarla.

Monitoraggio del credito

In alcune giurisdizioni, le aziende sono tenute a fornire ai clienti i cui dati sono stati rubati con servizi di monitoraggio del credito, assicurandosi così che non subiscano frodi. Ciononostante, è sempre buona norma offrire un tale servizio e può mitigare il danno reputazionale subito dalla violazione.

Multe

Le multe possono venire in tutte le forme e dimensioni. Dipendono principalmente dalla giurisdizione in cui risiedi, dall'entità della violazione, dal tipo di dati compromessi e dal settore in cui operi. Ad esempio, le violazioni dei dati nell'UE possono essere soggette a sanzioni GDPR, che possono arrivare fino al 4% delle entrate. Negli Stati Uniti, le violazioni dell'HIPAA sono perseguite dal procuratore generale dello Stato e dall'OCR. Le multe PCI possono essere applicate anche nei casi in cui i dati della carta di credito sono stati rubati.

Cause

Circa il 5% delle violazioni segnalate finisce in qualche forma di contenzioso; tuttavia, qui è necessario considerare diversi fattori. Naturalmente, gli avvocati sono la migliore risorsa per offrire indicazioni qui; tuttavia, vale la pena tenerlo a mente.

Prevenire è meglio che curare

Una violazione dei dati comporta molti costi elevati. Alcuni costi sono immediati e diretti; altri sono a lungo termine e difficili da valutare, come il mancato guadagno dovuto a danni reputazionali. In molti casi, i costi di una violazione dei dati possono essere sufficientemente elevati da spazzare via un'azienda. Fortunatamente, c'è una via d'uscita più facile.

È importante riconoscere che le infrastrutture IT sono spesso complesse e le violazioni possono essere avviate da qualsiasi punto, a volte anche dall'interno. Pertanto, una politica di sicurezza di WordPress completa è di fondamentale importanza; uno che include la valutazione e la mitigazione del rischio, nonché un piano su come vengono gestite le violazioni.

Inoltre, anche se non proprio il proiettile d'argento, l'autenticazione a due fattori si avvicina molto. Considera questo. L'81% delle violazioni avviene attraverso l'utilizzo di credenziali rubate. L'AMF blocca circa il 99,9% di tali attacchi, aiutandoti a eliminare un'ampia percentuale di rischio attraverso un'unica tecnologia.

Le principali aziende, tra cui Google e Microsoft, stanno sostenendo la 2FA, riconoscendone l'efficacia nella riduzione del rischio. In qualità di amministratore di WordPress o proprietario di un sito Web, anche tu puoi sfruttare 2FA per migliorare la tua sicurezza con WP 2FA, un plug-in 2FA facile da installare e gestire che viene fornito in bundle con alcune delle più avanzate ed estese serie di funzionalità in circolazione.

Inizia oggi con una prova senza rischi di 14 giorni.