Cyber Reputation: come evitare che venga compromessa

Categorie: Cyber Security
8 Aprile 2021

Fra tutti i rischi a cui può essere esposta un’azienda quello legato alla cyber reputation è uno fra i più importanti. Infatti, il rischio di reputazione è strategico e potenzialmente legato a un importante impatto materiale, tanto più nell’era dell’iper-trasparenza e del web.  

Ciò deve essere compreso chiaramente sia dal management sia dai consigli di amministrazione in modo che le persone incaricate della tutela della cyber reputation abbiano il supporto di cui hanno bisogno per allineare la loro gestione del rischio con la strategia e la pianificazione aziendale. 

La cyber reputation e i rischi di compromissione 

La cyber reputation è la “rappresentazione virtuale” di una azienda sul web. È un concetto importante perché può essere compromessa da azioni dirette, indirette, da parti di terzi o da situazioni di rischio che possono screditare i servizi, i prodotti e l’immagine stessa dell’organizzazione in rete. Per questo motivo la cyber reputation abbraccia tutti i possibili ambiti e si estende anche al fatto che il danno di reputazione “digitale” possa influire sul normale funzionamento di un’azienda o la possa esporre a ulteriori tipologie di attacco.  

Il rischio cyber, ovvero di subire un attacco informatico, e quello reputazionale oggi si fondono in un unicum indicato come cyber reputation risk che rappresenta una nuova e significativa categoria di minaccia da affrontare per tutte le organizzazioni.  

Già nel 2014 la survey dal titolo “2014 global survey on reputation risk” di Deloitte, svolta su oltre 300 dirigenti presi a campione e centrata sul rischio reputazionale, aveva fatto emergere come la sicurezza fisica o informatica fosse considerata uno dei tre fattori chiave che potevano incidere sulla reputazione.  

Riportando un caso reale era stato dimostrato come gli incidenti di sicurezza per una determinata organizzazione ne avessero “rovinato la reputazione” con una crescente entità dell’impatto del “sentiment” a medio e lungo termine, evidenziando quindi come le violazioni dei dati influissero negativamente sull’immagine di un’azienda.  

Questo risultato è tanto più vero nella cyber security, che comprende tutti gli ambiti in cui le informazioni sono elaborate e trattate: ambito fisico, logico, informatico ed organizzativo.  

Perché gli stakeholder guardano alla cyber reputation 

Il rischio di reputazione è un “rischio amplificatore” che si sovrappone o si collega ad altre minacce, aggiungendo implicazioni negative o positive alla rilevanza, durata o espansione degli altri eventi sull’organizzazione, sulla persona, prodotto o servizio interessati (Fonte The Reputation Risk Handbook).  

Il ruolo degli stakeholder nell’equazione del rischio di reputazione è fondamentale. Sapere chi sono i propri stakeholder, comprendere le loro aspettative nei confronti della propria organizzazione e come stabilire le priorità: tutto ciò ha a che fare con una gestione efficace del rischio di reputazione. 

Nel contesto della cyber security questa dinamica assume un carattere di immediatezza e pervasività a causa del passaparola digitale, amplificato dai social e dalle chat, tanto che da esso dipende il picco positivo di reputazione, quello negativo o molto negativo in caso di incidente e di percezione di non sicurezza e quindi di sfiducia nell’azienda.  

La governance del cyber rischio e il monitoraggio della cyber reputation 

Alla luce di quanto fin qui trattato, tutelare la cyber reputation richiede un approccio di governance omnicomprensivo di tutte le categorie di rischio che possono inficiare negativamente l’azienda, facendola apparire criticabile agli occhi dei clienti potenziali o degli eventuali partner. 

Il rischio di perdita della reputazione, in particolare, dovrebbe essere considerato e stimato introducendo contromisure di mitigazione. Una delle azioni preventive che può concorrere alla protezione della reputazione aziendale è lo sviluppo di una strategia di gestione e monitoraggio delle informazioni dentro e fuori la propria organizzazione, soprattutto legate al web e al dark web.  

Da questi ambiti, infatti, possono provenire attacchi alla reputazione senza che i cyber criminali abbiano minimamente bisogno di entrare in contatto con l’azienda e con i suoi sistemi ICT (si pensi ad un malvertising o ad un mirroring del sito aziendale che diffonde malware).  

Gli strumenti di next generation analytics che abilitano i servizi di cyber “intelligence”, possono mostrare la situazione in tempo reale e rivelare possibili scenari di attacco e potenziali minacce a cui l’azienda è esposta, in modo che sia possibile proteggere, in ottica preventiva, la propria cyber reputation.