Categorie: Fashion

Un data breach non incide solo sulle casse dell’azienda, ma anche sulla sua brand reputation. Come dimostrano diverse ricerche, la fuga dati ha un impatto sulla reputazione del marchio, scatenando un effetto domino che si ripercuoterà anche per lungo tempo su bilanci societari. Una ricerca del Ponemon Institute mostra che il 76% delle aziende vittime di un data breach (75% di quelle che hanno subito il furto di proprietà intellettuale) ha dovuto affrontare le conseguenze di un impatto significativo sulla reputazione del brand. Per il 71% dei CMO, invece, il costo più elevato che l’azienda si troverà a pagare dopo un data breach sarà proprio in termini di credibilità.

Insomma, gli utenti hanno giustamente delle remore ad affidare i propri dati personali – come quelli anagrafici o peggio ancora quelli relativi ai metodi di pagamento – a una società che ha dimostrato di fare poco o nulla per difenderli e preservarli. Secondo una ricerca IDC, l’80% degli utenti, infatti, mostra poca fiducia nei confronti di aziende che hanno subito un data breach, con inevitabili impatti sui volumi di vendita – quanto meno per l’e-commerce aziendale – e sui ricavi.

Per questo motivo, mettere in atto delle strategie per proteggere tanto i dati degli utenti quanto i dati aziendali non solo è raccomandabile, ma è diventato un obbligo per qualunque azienda o amministrazione locale.

 

Data breach e brand reputation: come difendersi

Gli attacchi informatici crescono a ritmo molto sostenuto, sia nei confronti di reti e siti aziendali sia nei confronti delle reti e dei siti della Pubblica Amministrazione. Un eventuale furto di dati, dunque, non causerebbe solamente un danno economico diretto (relativo alle investigazioni sull’accaduto, riparare i danni causati dal cyber attacco, rimborsi per gli utenti ed eventuali sanzioni) ma anche e soprattutto a livello di immagine.

Per capire come un’azienda del fashion debba salvaguardare i dati degli utenti dai data breach bisogna, prima di tutto, analizzare quali sono i canali e gli strumenti che i cyber criminali utilizzano per impossessarsi delle informazioni presenti nella LAN aziendale. Le tecniche difensive sono, infatti, intimamente legate a quelle di attacco. Conoscendo queste ultime, dunque, sarà possibile anche impostare un’efficace strategia difensiva, che permetta di difendersi dai data breach e di proteggere i dati degli utenti (e i segreti industriali aziendali).

 

Data breach: attacchi “personali”

Per riuscire a impadronirsi dei dati, i cyber criminali devono riuscire a introdursi nella LAN aziendale o, comunque, all’interno dei server che contengono i database. Per farlo, le tecniche possono essere le più svariate ma quelle che hanno dimostrato di essere maggiormente efficaci sono quelle legate all’ingegneria sociale o social engineering. Il fattore umano può essere, infatti, considerato come “l’anello debole” della catena della cybersecurity e il più delle volte gli hacker approfittano di questa debolezza a loro favore.

Un attacco di social engineering si compone di varie fasi, ma lo scopo finale è quello di entrare in confidenza con la persona-obiettivo dell’attacco e riuscire così a impossessarsi dei suoi dati e delle sue informazioni. Solitamente, l’ingegneria sociale è utilizzata nei cosiddetti “furti di identità”, ma può tornare utile anche per impossessarsi di dati come credenziali di accesso alla rete aziendale. Una volta che il cyber criminale è riuscito nel suo intento (ossia, di rubare nome utente e password dell’account professionale), può accedere indisturbato alla rete aziendale come se fosse un dipendente.

 

Data breach: attacchi malware e phishing

Un altro strumento particolarmente efficace è quello dell’infezione malware. Utilizzando programmi malevoli come i trojan horse, ad esempio, i criminali informatici possono creare un “accesso diretto” al dispositivo infettato – può essere un PC, uno smartphone o un tablet – e, da lì, alla rete aziendale con tutte le informazioni che contiene.

In tutti e due i casi appena descritti, poi, i criminali informatici possono utilizzare e-mail di phishing per spingere l’utente a compiere azioni che, altrimenti, non avrebbero mai compiuto. In un attacco di ingegneria sociale, ad esempio, il phishing è utile per ricavare informazioni sull’utente. Nelle infezioni malware, invece, i messaggi phishing sono usati per veicolare i programmi malevoli, magari “camuffati” da fattura o da un documento di lavoro da controllare.

 

Come difendersi dai data breach

A fronte di queste direttrici di attacco, un’azienda del fashion che voglia salvaguardare i dati degli utenti dovrebbe impostare una strategia articolata su tre livelli: a livello di rete, con un sistema di gestione degli accessi che consenta di verificare con certezza l’identità di chi si “muove” all’interno della LAN; a livello di dispositivi, implementando soluzioni software che proteggano gli endpoint da attacchi malware; a livello di utenti, con un percorso di formazione che li renda edotti sui maggiori pericoli informatici e come evitare di diventare “l’anello debole” della catena della cybersecurity.

Per quanto riguarda il primo livello, quello di rete, l’azienda deve attuare politiche di Identity Access Management, che permettano ai dipendenti di connettersi in sicurezza, ovunque si trovino e da qualunque dispositivo. Allo stesso tempo, però, gli strumenti di sicurezza devono essere in grado di riconoscere connessioni anomale, studiandone il comportamento in tempo reale e, in caso di pericoli, limitarne la possibilità di accedere a risorse e dati sensibili. Sul fronte dei dispositivi, invece, è necessario attuare politiche di endpoint security, che proteggano smartphone, PC e server da tentativi di attacco malware, e non solo.

New call-to-action