LA GUIDA PRATICA

Recovery e brand reputation: consigli per gestire i danni indiretti o indotti di un attacco cyber

Parlando di attacchi informatici o violazioni di dati si tende a dare importanza alla perdita economica immediata causata dall’evento, mentre sarebbe importante considerare anche gli aspetti di recovery e brand reputation. Ecco le best practice per essere pronti ad attenuare e prevenire anche i danni indiretti o indotti

19 Mag 2020
G
Matteo Gianniello

Consulente privacy e cyber security


Quando si sente parlare di attacchi informatici o violazione dei dati, assume molta importanza l’aspetto economico dell’evento come, ad esempio, richieste di riscatto o sanzioni comminate dalle autorità: in realtà, occorre considerare anche le conseguenze di questi eventi ed è per questo che parliamo di danni indiretti o indotti che è possibile in qualche modo evitare o porvi rimedio adottando i necessari piani di recovery e brand reputation.

I danni indiretti o indotti, infatti, nascono e si presentano in un secondo momento, rimanendo nascosti in periodi di relativa normalità e sono difficilmente quantificabili a priori perché sono direttamente proporzionali all’evento stesso e alle dimensioni aziendali.

È dunque utile analizzarli nel dettaglio per individuare le best practise di recovery e brand reputation da utilizzare per prevenirli o limitarne l’entità.

Attacchi informatici: la fase di recovery

La fase di ripristino (recovery) comprende un insieme di procedure che vengono utilizzate quando bisogna far tornare operative tutte le infrastrutture e le tecnologie che permettono il completo funzionamento del sistema.

Possono essere raccolte dentro il D.R.P (Disaster Recovery Plan), un piano che dovrebbe essere presente in tutte le imprese. Più l’impresa è sviluppata, più sarà articolato e complesso il piano di recupero.

È importante per la realtà produttiva possedere questo documento perché permette di conoscere tutti gli step da fare in caso di bisogno e di conseguenza ottimizzare i tempi di reazione. Purtroppo, molte aziende, soprattutto quelle di piccole dimensioni, non adottano queste procedure.

Secondo molte ricerche condotte in questo campo, ci sono ancora realtà che non prevedono l’adozione di politiche di business continuity, correndo il rischio di dover ricostruire da zero in caso di business interruption, sia esso un attacco informatico o un evento calamitoso.

Ritrovarsi in questa situazione, costretti a ricominciare tutto da capo, significherebbe dover ricostruire interi database contenenti tutte le informazioni sensibili e non, accumulate negli anni di attività spendendo ingenti somme nella speranza di recuperare qualcosa.

WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

Cosa comporterebbe, quindi, non solo dal punto di vista economico, non disporre più dei propri dati? Questa considerazione è ben presente nella mente del criminale informatico. È proprio questa una leva emotiva utilizzata contro le loro vittime, forzandole ad accettare il pagamento della somma richiesta come riscatto. Pagare, oltre a compiere un reato, non assicura la restituzione certa delle informazioni sottratte.

Attacchi informatici: la fase di brand reputation

La perdita di reputazione è forse il danno più ingente che possa manifestarsi e non si può quantificare in modo immediato.

La vediamo verificarsi a seguito di un data breach ed è direttamente proporzionale al modo in cui l’azienda affronta il problema e alle risorse messe in campo.

Potrebbero emergere carenze strumentali e impreparazione organizzativa essendo state sempre messe in secondo piano, nonostante le raccomandazioni.

Possiamo definire questo danno una vera e propria perdita aggregata perché coinvolge molti fattori e chiama in causa diverse funzioni aziendali. Il GDPR è molto chiaro sotto questo aspetto: in caso di violazione il titolare del trattamento informa le autorità competenti e tutti gli interessati senza ingiustificato ritardo.

Possiamo considerarla un’auto denuncia che comporta un’assunzione di diverse responsabilità, con questo procedimento l’azienda dimostra la sua attenzione verso le tematiche legate alla sicurezza delle informazioni.

Farsi trovare impreparati insinuerebbe nel pensiero degli stakeholder un giudizio di inaffidabilità producendo conseguenze negative, addirittura l’impresa potrebbe affrontare cause legali e richieste di risarcimento.

Best practice da adottare

Cosa è meglio fare? La risposta è semplice: agire subito e non procrastinare. Il famoso detto “prevenire è meglio che curare” calza in modo perfetto.

Quando parliamo di procedure di ripristino occorre adottare un approccio proattivo e lungimirante, programmare e condurre simulazioni per verificare il funzionamento delle procedure ed intervenire qualora ci fossero da correggere eventuali intoppi, cercando di renderle sempre più efficienti.

Il mercato in cui si opera e l’interdipendenza con altri attori economici, potrebbero richiedere il rispetto di standard qualitativi molto esigenti da rispettare. Inoltre, contare su tempi di ripristino certi permette di ridurre l’inattività e consente il ritorno alla piena operatività nel minor tempo possibile.

D’altra parte, la totale impreparazione potrebbe mettere in seria difficoltà l’azienda, determinandone anche la chiusura definitiva nei casi peggiori.

Prendere coscienza di questi aspetti è il primo passo da fare, chiedere la consulenza di società che operano nel settore del disaster recovery aiuterà a scegliere la strategia e gli strumenti da adottare.

Una maggiore consapevolezza si traduce in benefici veri e propri perché le aziende con valutazioni di responsabilità più elevate, secondo il Data Privacy Benchmark Cisco 2020 (valutati utilizzando l’Accountability Wheel del Centre for Information Policy Leadership) sperimentano minori danni economici legati alle violazioni, e una perdita di reputazione è senz’altro una di queste.

Le aspettative in queste tematiche costituiranno sempre di più i nuovi vantaggi competitivi da spendersi agli occhi dei nuovi target di mercato di domani.

Nel percorso intrapreso per garantire la protezione dei dati degli interessati è compresa anche la capacità di reazione ad eventi straordinari che non potevano essere previsti.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Privacy

Senz’altro di questa lungimiranza ne beneficerà anche il brand: infatti, comunicando gli sforzi fatti e le risorse impiegate in queste aree d’intervento, l’azienda potrà comunicare al mercato una maggiore solidità, guadagnandosi l’attenzione dei clienti più esigenti in materia o di nuovi investitori.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5