Brand reputation: ecco come difenderla
La brand reputation è uno degli asset più importanti per un’azienda. Crearla richiede anni, ma basta un secondo per perderla. E tra le minacce più pericolose ci sono i data breach.
Come si crea un marchio di successo, un marchio con una buona brand reputation? Uno dei principali fattori è il tempo. Ma se possono servire anni per crearsi una solida brand reputation, basta un attimo di disattenzione per distruggerla. E non stiamo parlando di mettere in commercio un prodotto non all’altezza, o di sbagliare una campagna pubblicitaria. Il modo più rapido per distruggere un marchio è rivelarsi improvvisamente inaffidabili nella gestione di un patrimonio fondamentale di ogni azienda, ovvero i propri dati.
E questo è vero in generale, ma ancora di più se parliamo di aziende il cui business dipende in modo importante dalla gestione dei dati, in particolare quelli relativi alla clientela.
Sicurezza dei dati: chi deve preoccuparsene
Un gestore di e-commerce, per esempio, o un’organizzazione finanziaria come una banca o un’assicurazione non può assolutamente permettersi di incorrere in un data breach. Ma anche per una catena di alberghi, o un ospedale, o uno studio di commercialista subire un’intrusione crea danni gravi, sia dal punto di vista operativo sia (soprattutto) di immagine. E questo non solo nel caso i dati vengano compromessi in modo più o meno definitivo – per esempio da un ransomware o da un sabotaggio – ma anche se i dati vengono “semplicemente” copiati, entrando quindi in possesso di organizzazioni criminali e potenzialmente di ogni persona disposta a pagare per averne una copia.
Il GDPR ha cambiato tutto
Apparentemente, il furto di dati sembra un crimine relativamente recente: solo negli ultimi mesi, infatti, si è cominciato a parlarne, in particolare perché sono emerse notizie certe su alcuni casi eclatanti. In realtà, è vero che la frequenza degli attacchi è in continua crescita: CenturyLink stimava già nel 2018 una media di 195mila attacchi al giorno, e Cybersecurity Ventures calcola in 6 trilioni di dollari i danni da cybercrimine previsti nel 2021. Ma non è che 5 o 10 anni fa questi fatti non avvenissero: è solo che le aziende facevano tutto il possibile per evitare che la notizia dell’attacco diventasse di dominio pubblico. Se i dati venivano semplicemente copiati oppure cancellati, l’azienda disponeva di un backup: quello che avveniva quindi era il ripristino del sistema in gran segreto, incrociando le dita, sperando che nessuno fuori lo venisse a sapere. A cambiare un po’ gli scenari, almeno in Europa, ci ha pensato la normativa GDPR, che tra le altre cose ha introdotto l’obbligo di denunciare gli attacchi subiti e ha stabilito multe piuttosto alte per chi si sottrae ai doveri stabiliti dalla legge.
Al di fuori dell’Europa, invece, i maggiori data breach vengono generalmente alla luce svariati mesi, se non qualche anno dopo che sono avvenuti, tipicamente quando la banda di cybercriminali che ha portato a termine l’attacco mette in vendita sul dark web le informazioni rubate. Si è visto che, in genere, la reazione dell’uomo comune alla notizia di un data breach è maggiormente negativa nei confronti dell’azienda coinvolta quando quest’ultima ha cercato di nascondere l’episodio, rispetto a quando l’azienda ha ammesso spontaneamente la circostanza. Questo, però, non succede in automatico: piuttosto, avviene perché le aziende che hanno rivelato l’avvenuta intrusione avevano già pronto un buon piano di gestione dell’incidente dal punto di vista delle public relation – ovvero avevano già pronta una strategia da seguire sul come informare la clientela, come rispondere alle domande dei media, eccetera. Questo tipo di piani, generalmente affidati per la loro esecuzione a personale specializzato nel “crisis management”, dovrebbero far parte delle strategie di Business Continuity di ogni azienda che raccolga e gestisca dati dei propri clienti, in particolare i dati finanziari o sensibili.
Difendere la brand reputation e sicurezza dei dati
Difendere il brand, abbiamo detto, vuol dire prima di tutto mettere in sicurezza i dati. Capita di sentire affermare cose come “abbiamo installato l’antivirus, abbiamo installato un firewall, siamo tranquilli”. Ma visto che sappiamo bene che il motto dell’hacker è “ciò che è stato chiuso si può sempre riaprire”, non saremmo tanto sicuri che queste semplici barriere siano in grado di difendere i nostri dati nel 100% dei casi.
Comunque, non bisogna mai dimenticare che la sicurezza non si compra a peso e non è semplicemente “un prodotto”, ma è invece un processo fatto soprattutto di regole da seguire, best practice, training, oltre che ovviamente di strumenti software e hardware. Bisogna soprattutto tenere a mente che, come la forza della catena è pari a quella dell’anello più debole, così la sicurezza dell’intera azienda è condizionata dal dipendente meno attento ai rischi del cybercrime.
Tre consigli pratici a chi si occupa di brand reputation
In quest’ottica, possiamo dare tre semplici consigli a chi deve occuparsi di tenere al sicuro la brand reputation dell’azienda.
- Primo consiglio: i dipendenti maggiormente a rischio sono quelli il cui lavoro primario viene reso più pesante dal rispetto delle regole di sicurezza, e più in generale quelli che non si occupano in via prevalente di assicurare il rispetto delle regole. Questi lavoratori tendono a fare le cose nel modo più efficiente invece che in quello più sicuro, e questo anche se sono a conoscenza dei rischi (per il solito principio del “ma tanto a me non succede”), figuriamoci se i rischi li ignorano. La conseguenza logica di questo fatto è, per prima cosa, che tutti i dipendenti devono essere adeguatamente formati sui rischi del cybercrime: chiunque in azienda utilizzi un dispositivo informatico (PC, tablet, smartphone che sia) rappresenta, se non ha fatto il training corretto, un potenziale pericolo. Seconda cosa, formare non basta, perché come abbiamo detto ci sarà sempre qualcuno che cercherà di fare le cose nel modo più comodo invece che in quello sicuro. Per “convertire” queste persone bisogna lavorare sulla motivazione. Bisogna far capire a tutti perché l’azienda ha deciso di adottare metodiche di lavoro “a prova di intrusione”, quanto siano importanti i principi che stanno dietro alle regole, e quanto la maggiore sicurezza dovuta all’uniformarsi a queste procedure impatti positivamente sul lavoro di ciascuno.
- Secondo consiglio: se la cybersecurity è un problema che riguarda ogni singolo dipendente dell’azienda, e non solo il team dell’IT, è giusto che il top management dia il buon esempio, applicando rigorosamente le procedure di sicurezza stabilite e facendosi promotore del rispetto delle regole presso i propri sottoposti. Inoltre, potrebbe essere utile “incentivare” i dipendenti che dimostrano di interessarsi alla cybersecurity.
- Terzo consiglio: far eseguire da un’azienda specializzata un approfondito auditing, alla ricerca delle vulnerabilità del nostro sistema informativo, ci darà elementi più precisi per capire quali sono i punti deboli della nostra linea di difesa, e ci consentirà quindi di decidere l’ordine e la priorità delle operazioni necessarie per ottenere una completa messa in sicurezza del sistema. Una volta portato a termine l’auditing e messi in sicurezza i dati, però, non si deve dormire sugli allori: la sicurezza, abbiamo detto, è un processo continuo e mantenerla richiede impegno costante. Se i dati gestiti hanno valore – e lo hanno – ci sarà sempre un cybercriminale pronto a scavalcare ogni ostacolo per metterci sopra le mani.