Contenuto
- Le perdite sono sbalorditive
- La questione della performance azionaria a lungo termine
- Reazioni a un incidente di sicurezza informatica
- Nessun bug, nessuno stress: la tua guida passo passo alla creazione di software che ti cambia la vita senza distruggere la tua vita
Fonte: iStock
Porta via:
Qui esaminiamo le ripercussioni durature degli attacchi informatici, in particolare i danni a breve e lungo termine arrecati ai prezzi delle azioni e il modo in cui i dirigenti e i membri del consiglio di amministrazione sono ora direttamente coinvolti nelle misure di prevenzione e reazionarie nella gestione degli attacchi informatici.
La sicurezza informatica è un argomento pervasivo per l'IT, ma oggi gli attacchi informatici stanno colpendo un'ampia fascia di individui al di fuori dell'IT. Le violazioni dei dati possono avere un impatto sulla vita delle persone le cui informazioni personali vengono rubate per anni dopo che l'incidente è stato dimenticato. In altri casi, è possibile rubare informazioni proprietarie che eliminano i vantaggi competitivi per le business unit interne e le divisioni dei prodotti. Gli attacchi ransomware e DDoS possono interrompere operazioni e servizi aziendali per clienti e fornitori per giorni e settimane. Inoltre, la portata di alcuni attacchi informatici oggi sta influenzando guadagni e profitti mentre offusca gravemente l'immagine aziendale delle persone colpite. (Il 2017 è stato un anno all'insegna del crimine informatico, ma scopri cosa stanno facendo le aziende per contrastarlo in Cybercrime 2018: The Enterprise Strikes Back.)
Di conseguenza, questi incidenti stanno, almeno nel breve termine, deprezzando i prezzi delle azioni, che colpisce gli azionisti e, di conseguenza, sta suonando campanelli d'allarme nelle sale del consiglio delle società. Secondo il Deloitte / Society for Corporate Governance Board Survey 2016 del 2016, la sicurezza informatica si è classificata come il rischio numero uno su cui i board si concentrano oggi. Come ulteriore prova, secondo il Manuale dei direttori dei NACD sulla sorveglianza del rischio cibernetico, meno del 40% dei direttori aziendali ha riferito che i rischi di cibersicurezza sono stati regolarmente coperti nelle riunioni del consiglio di amministrazione nel 2014. Nel 2017 tale cifra era del 90%.
Le perdite sono sbalorditive
Le preoccupazioni in materia di cibersicurezza all'interno delle sale del consiglio aziendale sono fondate sulla base di alcune delle minacce del 2017 subite da grandi società.
- Nuance Communications è un importante fornitore di strumenti vocali e linguistici con sede a Burlington, nel Massachusetts, che produce una suite di servizi di dettatura e trascrizione che servono oltre 500.000 medici e 10.000 strutture sanitarie. Questi servizi consentono ai medici di dettare note dal telefono. La società è stata colpita dall'attacco globale di Petya del 27 giugno, interrompendo le sue operazioni principali per 3-5 settimane, costringendo la compagnia a offrire alternative di servizio di dettatura ai clienti colpiti dall'interruzione. Sono state necessarie cinque settimane per ripristinare completamente tutti i suoi servizi cloud. Poiché quasi la metà delle entrate dell'azienda proviene da questi prodotti, la società ha annunciato a fine luglio che l'attacco avrebbe influito negativamente sui guadagni trimestrali. Il titolo è sceso del quattro percento immediatamente dopo l'annuncio e la negoziazione è stata interrotta quella mattina.
- Alla fine di settembre, abbiamo assistito a una delle più grandi violazioni dei dati nella storia in cui i dati personali di 145,5 milioni di americani sono stati rubati nella ormai nota violazione di Equifax. Per aggravare il calvario, i massimi dirigenti sono stati lenti nel pubblicizzare l'incidente e i primi passi per affrontare il problema sono stati mal concepiti. Equifax è diventato il massimo di battute e intense critiche durante le settimane dopo l'attacco. Lo stock è precipitato del 30 percento in una settimana, alla fine ha toccato il fondo dopo un ulteriore calo del 15 percento. Le perdite di capitale durante quel periodo ammontano a oltre $ 4 miliardi di dollari. I soli costi di pulizia sono stati di $ 87,5 milioni e Equifax ha registrato un calo del 27% nel suo reddito netto del terzo trimestre. (La violazione di Equifax è stata causata da una vulnerabilità di terze parti. Ulteriori informazioni su Qualitative vs Quantitative: Time to Change Come valutiamo la gravità delle vulnerabilità di terze parti?)
Le incredibili perdite causate dagli attacchi informatici non sono apparse improvvisamente nel 2017. Nel 2011, i costi del crimine informatico per le imprese negli Stati Uniti sono ammontati a $ 9 miliardi. Entro il 2015, questi costi sono saliti a spirale a oltre $ 400 miliardi e sono aumentati ulteriormente a $ 600 miliardi nel 2016. Si prevede che gli attacchi informatici costino alle imprese quasi $ 2 trilioni entro il 2019. Gli importi associati agli attacchi informatici sono scioccanti e il pubblico sta iniziando a prenderne atto. Inoltre, gli investitori stanno diventando sempre più istruiti sulla rottura e sui costi giganteschi coinvolti in un attacco informatico oggi.
La questione della performance azionaria a lungo termine
Sebbene non vi siano dubbi sul fatto che i mercati azionari possano martellare una società quotata in borsa nei giorni successivi alla violazione dei dati, esistono prove contrastanti sul fatto che gli incidenti di cibersicurezza abbiano o meno un effetto negativo a lungo termine. Uno studio pubblicato dalla società di consulenza informatica CGI ed Oxford Economics ha dimostrato che le violazioni della sicurezza informatica erodono i prezzi delle azioni della società di circa l'1,8% su base permanente. Lo studio ha coinvolto 65 società che hanno subito una violazione che ha coinvolto centinaia di migliaia di record o più dal 2013. Il costo totale per gli azionisti delle 65 società incluse nello studio è stato di oltre $ 52 miliardi. La conclusione del rapporto è stata che gli investitori di una tipica impresa FTSE 100 stanno decisamente peggio dopo una violazione per un periodo prolungato.
Un altro studio condotto da Compairtech lo scorso anno ha prodotto risultati simili. Lo studio ha coinvolto 24 società quotate in borsa come Target e Yahoo che sono state vittime di una violazione dei dati che ha coinvolto almeno 1 milione di record. I risultati dello studio hanno mostrato quanto segue:
- Le azioni in media hanno subito un calo immediato del prezzo delle azioni a seguito di una violazione dello 0,43 per cento, circa pari alla loro volatilità giornaliera media.
- A lungo termine, i corsi azionari continuano ad aumentare in media, ma a un ritmo molto più lento. Vi è stato un aumento del 45,6% del prezzo delle azioni nei tre anni precedenti la violazione e solo il 14,8% di crescita nei tre anni successivi. La volatilità giornaliera è stata pressoché la stessa per entrambi i periodi.
- Le aziende violate tendono a sottoperformare il NASDAQ. Ripristinano al livello di prestazione dell'indice dopo 38 giorni in media, ma dopo tre anni il NASDAQ alla fine li supera di un margine di oltre il 40 percento.
Un recente studio condotto dalla Georgetown University, tuttavia, mostra poca correlazione tra violazioni della sicurezza e performance azionarie a lungo termine. Lo studio ha coinvolto un set di dati di 235 aziende con violazioni dei dati registrate risalenti al 2005. Le aziende rappresentavano tutti i settori, compresi i beni di consumo discrezionali, finanziari, assistenza sanitaria e tecnologia. Lo studio non ha riscontrato disparità significative tra pre e post-performance dopo 90 giorni dalla violazione. Gli autori dello studio hanno concluso che le perdite che comportano l'impatto delle violazioni dei dati sulle azioni dell'azienda sembrano dipendere fortemente da molte variabili che sono uniche per l'azienda. Un altro studio pubblicato sulla Harvard Business Review nel 2015 ha concluso che mentre i prezzi delle azioni calano considerevolmente nei giorni seguenti un attacco come quello su Home Depot, i prezzi delle azioni iniziano a rimbalzare dopo due settimane in media e si comportano normalmente in base alle condizioni di mercato. Lo studio ha riscontrato che i servizi finanziari statali, l'assistenza sanitaria e le società di telecomunicazioni globali hanno subito i danni più duraturi.
Reazioni a un incidente di sicurezza informatica
In politica, c'è il vecchio adagio secondo cui la copertura è molto peggio del crimine. Questo può succedere anche per gli attacchi informatici. Un esempio è il TalkTalk, fornitore di telefonia e banda larga del Regno Unito, che ha subito una violazione dei dati che ha coinvolto 4 milioni di clienti nel 2015. Lo stock è sceso di oltre il 10 percento nei primi due giorni. La direzione è stata fortemente criticata nei mesi seguenti per la sua scarsa gestione della situazione, che ha contribuito alla perdita di oltre 90.000 clienti. Lo stock non è riuscito a riprendersi alla maniera di quelli negli studi di Georgetown e Harvard University.
Nessun bug, nessuno stress: la tua guida passo passo alla creazione di software che ti cambia la vita senza distruggere la tua vita
Non puoi migliorare le tue capacità di programmazione quando a nessuno importa della qualità del software.
Questo è il motivo per cui il peso della responsabilità di proteggere un'organizzazione dalle minacce informatiche, così come la reazione a una, è attribuito al CEO, al CIO / CTO / CSO e al team esecutivo. La sicurezza informatica non è più un "problema IT". È una questione che dovrebbe coinvolgere sia il senior management che il consiglio di amministrazione a cui riferiscono. Due cose sembrano certe: gli attacchi aumenteranno solo nei prossimi anni e i costi di tali attacchi aumenteranno sicuramente insieme a loro.