Quando si sente parlare di attacchi informatici o violazione dei dati, assume molta importanza l’aspetto economico dell’evento come, ad esempio, richieste di riscatto o sanzioni comminate dalle autorità: in realtà, occorre considerare anche le conseguenze di questi eventi ed è per questo che parliamo di danni indiretti o indotti che è possibile in qualche modo evitare o porvi rimedio adottando i necessari piani di recovery e brand reputation.
I danni indiretti o indotti, infatti, nascono e si presentano in un secondo momento, rimanendo nascosti in periodi di relativa normalità e sono difficilmente quantificabili a priori perché sono direttamente proporzionali all’evento stesso e alle dimensioni aziendali.
È dunque utile analizzarli nel dettaglio per individuare le best practise di recovery e brand reputation da utilizzare per prevenirli o limitarne l’entità.
Indice degli argomenti
Attacchi informatici: la fase di recovery
La fase di ripristino (recovery) comprende un insieme di procedure che vengono utilizzate quando bisogna far tornare operative tutte le infrastrutture e le tecnologie che permettono il completo funzionamento del sistema.
Possono essere raccolte dentro il D.R.P (Disaster Recovery Plan), un piano che dovrebbe essere presente in tutte le imprese. Più l’impresa è sviluppata, più sarà articolato e complesso il piano di recupero.
È importante per la realtà produttiva possedere questo documento perché permette di conoscere tutti gli step da fare in caso di bisogno e di conseguenza ottimizzare i tempi di reazione. Purtroppo, molte aziende, soprattutto quelle di piccole dimensioni, non adottano queste procedure.
Secondo molte ricerche condotte in questo campo, ci sono ancora realtà che non prevedono l’adozione di politiche di business continuity, correndo il rischio di dover ricostruire da zero in caso di business interruption, sia esso un attacco informatico o un evento calamitoso.
Ritrovarsi in questa situazione, costretti a ricominciare tutto da capo, significherebbe dover ricostruire interi database contenenti tutte le informazioni sensibili e non, accumulate negli anni di attività spendendo ingenti somme nella speranza di recuperare qualcosa.
Cosa comporterebbe, quindi, non solo dal punto di vista economico, non disporre più dei propri dati? Questa considerazione è ben presente nella mente del criminale informatico. È proprio questa una leva emotiva utilizzata contro le loro vittime, forzandole ad accettare il pagamento della somma richiesta come riscatto. Pagare, oltre a compiere un reato, non assicura la restituzione certa delle informazioni sottratte.
Attacchi informatici: la fase di brand reputation
La perdita di reputazione è forse il danno più ingente che possa manifestarsi e non si può quantificare in modo immediato.
La vediamo verificarsi a seguito di un data breach ed è direttamente proporzionale al modo in cui l’azienda affronta il problema e alle risorse messe in campo.
Potrebbero emergere carenze strumentali e impreparazione organizzativa essendo state sempre messe in secondo piano, nonostante le raccomandazioni.
Possiamo definire questo danno una vera e propria perdita aggregata perché coinvolge molti fattori e chiama in causa diverse funzioni aziendali. Il GDPR è molto chiaro sotto questo aspetto: in caso di violazione il titolare del trattamento informa le autorità competenti e tutti gli interessati senza ingiustificato ritardo.
Possiamo considerarla un’auto denuncia che comporta un’assunzione di diverse responsabilità, con questo procedimento l’azienda dimostra la sua attenzione verso le tematiche legate alla sicurezza delle informazioni.
Farsi trovare impreparati insinuerebbe nel pensiero degli stakeholder un giudizio di inaffidabilità producendo conseguenze negative, addirittura l’impresa potrebbe affrontare cause legali e richieste di risarcimento.
Best practice da adottare
Cosa è meglio fare? La risposta è semplice: agire subito e non procrastinare. Il famoso detto “prevenire è meglio che curare” calza in modo perfetto.
Quando parliamo di procedure di ripristino occorre adottare un approccio proattivo e lungimirante, programmare e condurre simulazioni per verificare il funzionamento delle procedure ed intervenire qualora ci fossero da correggere eventuali intoppi, cercando di renderle sempre più efficienti.
Il mercato in cui si opera e l’interdipendenza con altri attori economici, potrebbero richiedere il rispetto di standard qualitativi molto esigenti da rispettare. Inoltre, contare su tempi di ripristino certi permette di ridurre l’inattività e consente il ritorno alla piena operatività nel minor tempo possibile.
D’altra parte, la totale impreparazione potrebbe mettere in seria difficoltà l’azienda, determinandone anche la chiusura definitiva nei casi peggiori.
Prendere coscienza di questi aspetti è il primo passo da fare, chiedere la consulenza di società che operano nel settore del disaster recovery aiuterà a scegliere la strategia e gli strumenti da adottare.
Una maggiore consapevolezza si traduce in benefici veri e propri perché le aziende con valutazioni di responsabilità più elevate, secondo il Data Privacy Benchmark Cisco 2020 (valutati utilizzando l’Accountability Wheel del Centre for Information Policy Leadership) sperimentano minori danni economici legati alle violazioni, e una perdita di reputazione è senz’altro una di queste.
Le aspettative in queste tematiche costituiranno sempre di più i nuovi vantaggi competitivi da spendersi agli occhi dei nuovi target di mercato di domani.
Nel percorso intrapreso per garantire la protezione dei dati degli interessati è compresa anche la capacità di reazione ad eventi straordinari che non potevano essere previsti.
Senz’altro di questa lungimiranza ne beneficerà anche il brand: infatti, comunicando gli sforzi fatti e le risorse impiegate in queste aree d’intervento, l’azienda potrà comunicare al mercato una maggiore solidità, guadagnandosi l’attenzione dei clienti più esigenti in materia o di nuovi investitori.
