Un data breach non incide solo sulle casse dell’azienda, ma anche sulla sua brand reputation. Come dimostrano diverse ricerche, la fuga dati ha un impatto sulla reputazione del marchio, scatenando un effetto domino che si ripercuoterà anche per lungo tempo su bilanci societari. Una ricerca del Ponemon Institute mostra che il 76% delle aziende vittime di un data breach (75% di quelle che hanno subito il furto di proprietà intellettuale) ha dovuto affrontare le conseguenze di un impatto significativo sulla reputazione del brand. Per il 71% dei CMO, invece, il costo più elevato che l’azienda si troverà a pagare dopo un data breach sarà proprio in termini di credibilità.
Insomma, gli utenti hanno giustamente delle remore ad affidare i propri dati personali – come quelli anagrafici o peggio ancora quelli relativi ai metodi di pagamento – a una società che ha dimostrato di fare poco o nulla per difenderli e preservarli. Secondo una ricerca IDC, l’80% degli utenti, infatti, mostra poca fiducia nei confronti di aziende che hanno subito un data breach, con inevitabili impatti sui volumi di vendita – quanto meno per l’e-commerce aziendale – e sui ricavi.
Per questo motivo, mettere in atto delle strategie per proteggere tanto i dati degli utenti quanto i dati aziendali non solo è raccomandabile, ma è diventato un obbligo per qualunque azienda o amministrazione locale.
Data breach e brand reputation: come difendersi
Gli attacchi informatici crescono a ritmo molto sostenuto, sia nei confronti di reti e siti aziendali sia nei confronti delle reti e dei siti della Pubblica Amministrazione. Un eventuale furto di dati, dunque, non causerebbe solamente un danno economico diretto (relativo alle investigazioni sull’accaduto, riparare i danni causati dal cyber attacco, rimborsi per gli utenti ed eventuali sanzioni) ma anche e soprattutto a livello di immagine.
Per capire come un’azienda del fashion debba salvaguardare i dati degli utenti dai data breach bisogna, prima di tutto, analizzare quali sono i canali e gli strumenti che i cyber criminali utilizzano per impossessarsi delle informazioni presenti nella LAN aziendale. Le tecniche difensive sono, infatti, intimamente legate a quelle di attacco. Conoscendo queste ultime, dunque, sarà possibile anche impostare un’efficace strategia difensiva, che permetta di difendersi dai data breach e di proteggere i dati degli utenti (e i segreti industriali aziendali).
Data breach: attacchi “personali”
Per riuscire a impadronirsi dei dati, i cyber criminali devono riuscire a introdursi nella LAN aziendale o, comunque, all’interno dei server che contengono i database. Per farlo, le tecniche possono essere le più svariate ma quelle che hanno dimostrato di essere maggiormente efficaci sono quelle legate all’ingegneria sociale o social engineering. Il fattore umano può essere, infatti, considerato come “l’anello debole” della catena della cybersecurity e il più delle volte gli hacker approfittano di questa debolezza a loro favore.
Un attacco di social engineering si compone di varie fasi, ma lo scopo finale è quello di entrare in confidenza con la persona-obiettivo dell’attacco e riuscire così a impossessarsi dei suoi dati e delle sue informazioni. Solitamente, l’ingegneria sociale è utilizzata nei cosiddetti “furti di identità”, ma può tornare utile anche per impossessarsi di dati come credenziali di accesso alla rete aziendale. Una volta che il cyber criminale è riuscito nel suo intento (ossia, di rubare nome utente e password dell’account professionale), può accedere indisturbato alla rete aziendale come se fosse un dipendente.
Data breach: attacchi malware e phishing
Un altro strumento particolarmente efficace è quello dell’infezione malware. Utilizzando programmi malevoli come i trojan horse, ad esempio, i criminali informatici possono creare un “accesso diretto” al dispositivo infettato – può essere un PC, uno smartphone o un tablet – e, da lì, alla rete aziendale con tutte le informazioni che contiene.
In tutti e due i casi appena descritti, poi, i criminali informatici possono utilizzare e-mail di phishing per spingere l’utente a compiere azioni che, altrimenti, non avrebbero mai compiuto. In un attacco di ingegneria sociale, ad esempio, il phishing è utile per ricavare informazioni sull’utente. Nelle infezioni malware, invece, i messaggi phishing sono usati per veicolare i programmi malevoli, magari “camuffati” da fattura o da un documento di lavoro da controllare.
Brand Reputation a prova di GDPR, come fare
L’espressione brand reputation a prova di GDPR evidenzia il forte legame tra la tutela della privacy dei clienti e la reputazione del brand. Sull’azienda grava infatti l’onere di governare e gestire al meglio tutti i fattori che possono determinare un danno reputazionale, primo fra tutti una violazione del GDPR. L’obiettivo è far sì che il cliente, fornendo i propri dati all’azienda, si senta protetto e tutelato dalla forza e dai valori del brand.
Brand reputation a prova di GDPR significa, in primis, un fedele adeguamento ai dettami della normativa. Pur senza entrare nel dettaglio, la direttiva spiega che le aziende debbano porre in essere tutte le misure possibili per difendere i dati che custodiscono, adottando anche strumenti tecnici come la crittografia e il monitoraggio continuo delle proprie infrastrutture. Inoltre, GDPR spiega come comportarsi in caso di furto di dati, quali autorità informare e come, oltre alle modalità corrette di comunicazione con i clienti, volte a garantire la massima proattività e trasparenza. Il tutto passa attraverso la formalizzazione di una policy di data protection che affronti il tema a 360 gradi e comprenda le modalità di trattamento di dati e documenti, le informative per i diversi touchpoint, come permettere agli utenti di esercitare i diritti e tutte le procedure da adottare in caso di accesso non autorizzato ai dati aziendali.
La conformità al GDPR è fondamentale per un’azienda che ambisca a un futuro roseo. La Direttiva, infatti, oltre a prevedere sanzioni cospicue per le violazioni, specifica che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno […]”. A tutto ciò si somma il tema della brand reputation a prova di GDPR: in altri termini, alle sanzioni e al risarcimento del danno vanno sommate le conseguenze reputazionali, che in alcuni casi possono costare anche di più delle altre voci. Non essere in grado di tutelare le informazioni della propria azienda e, soprattutto, dei clienti, agisce con forza sull’affidabilità del brand, traghettando buona parte della clientela verso i competitor o, più in generale, verso tutti coloro che sappiano proteggerne effettivamente gli interessi.
Come difendersi dai data breach
A fronte delle direttrici d’attacco viste precedentemente, un’azienda del fashion che voglia salvaguardare i dati degli utenti dovrebbe impostare una strategia articolata su tre livelli:
- a livello di rete, con un sistema di gestione degli accessi che consenta di verificare con certezza l’identità di chi si “muove” all’interno della LAN;
- a livello di dispositivi, implementando soluzioni software che proteggano gli endpoint da attacchi malware;
- a livello di utenti, con un percorso di formazione che li renda edotti sui maggiori pericoli informatici e come evitare di diventare “l’anello debole” della catena della cybersecurity.
Per quanto riguarda il primo livello, quello di rete, l’azienda deve attuare politiche di Identity Access Management, che permettano ai dipendenti di connettersi in sicurezza, ovunque si trovino e da qualunque dispositivo. Allo stesso tempo, però, gli strumenti di sicurezza devono essere in grado di riconoscere connessioni anomale, studiandone il comportamento in tempo reale e, in caso di pericoli, limitarne la possibilità di accedere a risorse e dati sensibili. Sul fronte dei dispositivi, invece, è necessario attuare politiche di endpoint security, che proteggano smartphone, PC e server da tentativi di attacco malware, e non solo.