Contatti

Contatti

Cyber security e brand reputation

Quando parliamo di gestione delle violazioni informatiche, occorre prendere in considerazione anche il danno d’immagine che può scaturire da quest’evento.

Quando si sente parlare di attacchi informatici o violazione dei dati, assume molta importanza l’aspetto economico dell’evento come ad esempio richieste di riscatto o sanzioni comminate dalle autorità. Riscuote sempre un alto livello di stupore e indignazione il quantitativo di denaro richiesto, soprattutto per i non addetti ai lavori. Pensandoci bene però se quella somma può essere assorbita dal bilancio aziendale, occorre considerare quali potenziali conseguenze hanno questi eventi sul brand reputation. Per questo parliamo di danni indiretti o indotti. Questi nascono e si presentano in un secondo momento, rimanendo nascosti in periodi di relativa normalità e sono difficilmente quantificabili a priori perché sono direttamente proporzionali all’evento stesso e alle dimensioni aziendali. In questo articolo ne descriveremo due tipologie e aiuteremo i lettori ad individuare quali possono essere le best practice da utilizzare per prevenirli o limitarne l’entità.

La fase di recovery 

La fase di ripristino comprende un insieme di procedure, esse vengono utilizzate quando bisogna far tornare operative tutte le infrastrutture e le tecnologie che permettono il completo funzionamento del sistema. Possono essere raccolte dentro il disaster recovery planun piano che dovrebbe essere presente in tutte le imprese. Più l’impresa è sviluppata, più sarà articolato e complesso il piano di recupero, è importante per la realtà produttiva possedere questo documento perché permette di conoscere tutti gli step da fare in caso di bisogno e di conseguenza ottimizzare i tempi di ripristino. Purtroppo, molte aziende soprattutto quelle di piccole dimensioni, non adottano queste procedure e non sanno come fare per tornare operativi. Secondo molte ricerche condotte in questo campo ci sono ancora realtà che non prevedono l’adozione di politiche di business continuity, correndo il rischio di dover ricominciare da zero in caso di interruzione delle attività, sia a causa di un attacco informatico o di un evento calamitoso. Ritrovarsi in questa situazione, costretti a ricominciare tutto da capo, significherebbe dover ricostruire interi database contenenti tutte le informazioni sensibili e non, accumulate negli anni di attività, spendendo ingenti risorse. Alcune imprese arrivano al punto di considerare la chiusura definitiva.
Cosa comporterebbe quindi, non solo dal punto di vista economico, non disporre più dei propri dati? Questa considerazione è ben presente nella mente del criminale informatico. È proprio questa una leva emotiva utilizzata contro le loro vittime, forzandole ad accettare il pagamento della somma richiesta per avere indietro i propri dati. Pagare, oltre a compiere un reato, non assicura la restituzione certa delle informazioni sottratte.

BRAND REPUTATION

La perdita di reputazione è forse il danno più ingente che possa manifestarsi e non si può quantificare in modo immediato. La vediamo verificarsi a seguito della violazione ed è direttamente proporzionale al modo in qui l’azienda affronta il problema e alle risorse dedicate. Potrebbero emergere carenze strumentali e impreparazione organizzativa se questo scenario è sempre stato messo in secondo piano in nome di qualcosa di più urgente da fare. Possiamo definire questo danno una vera e propria perdita aggregata perché coinvolge molti fattori e chiama in causa diverse funzioni aziendali. Dover dare una notizia che riguarda una violazione subita (in modo colposo o doloso) possiamo considerarla un’auto denuncia che comporta un’assunzione di diverse responsabilità. Con questa notifica (obbligatoria per legge), l’azienda dimostra la sua attenzione verso le tematiche legate alla sicurezza informatica. Farsi trovare impreparati insinuerebbe nel pensiero degli stakeholder un giudizio di inaffidabilità producendo conseguenze negative. Addirittura, a seguito della notifica di violazione, l’impresa potrebbe dover affrontare cause legali e class action sia da parte di clienti che da partner commerciali.

BEST PRACTISE DA ADOTTARE

Cosa è meglio fare? La risposta è semplice: agire subito e non procrastinare. Il famoso detto “prevenire è meglio che curare” calza in modo perfetto. Quando parliamo di procedure di ripristino occorre adottare un approccio proattivo e lungimirante. Bisogna aver programmato simulazioni per verificare il funzionamento delle procedure ed intervenire qualora ci fossero da correggere eventuali intoppi, cercando di renderle sempre più efficienti. Il mercato in cui si opera e l’interdipendenza con altri attori economici, potrebbe richiedere il rispetto di standard qualitativi molto esigenti da rispettare. Inoltre, contare su tempi di ripristino certi permette di ridurre l’inattività e consente il ritorno alla piena operatività nel minor tempo possibile. D’altra parte, la totale impreparazione potrebbe mettere in seria difficoltà l’azienda, determinandone anche la chiusura definitiva nei casi peggiori. Prendere coscienza di questi aspetti è il primo passo da fare, chiedere la consulenza di società specializzate nell’affrontare incidenti e violazioni informatiche, aiuterà a scegliere la strategia e gli strumenti da adottare. Una maggiore consapevolezza si traduce in benefici veri e propri perché le aziende con valutazioni di responsabilità più elevate, secondo il Data Privacy Benchmark Cisco 2020 sperimentano minori danni economici legati alle violazioni. Le aspettative in queste tematiche costituiranno sempre di più i nuovi vantaggi competitivi da spendersi agli occhi dei nuovi target di mercato di domani. Nel percorso intrapreso per garantire la protezione dei dati degli interessati è compresa anche la capacità di reazione ad eventi straordinari che non potevano essere previsti, senz’altro di questa lungimiranza ne beneficerà anche il brand. Infatti, comunicando gli sforzi fatti e le risorse impiegate in queste aree d’intervento, l’azienda trasmetterà al mercato una maggiore solidità, guadagnandosi l’attenzione dei clienti più esigenti in materia o di nuovi investitori.

Matteo Gianniello
Matteo Gianniello
Articoli: 8