Web reputation e social engineering: la reciproca influenza e gli impatti sul business
In un mercato sempre più connesso, la reputazione online di un’azienda legata alla sua sicurezza digitale può determinare il suo destino. Attacchi basati sulla social engineering sfruttano la vulnerabilità umana più che quella tecnica, mettendo a rischio non solo i dati sensibili ma anche la fiducia degli stakeholders. Rimanere vittime di un attacco informatico, infatti, non solo comporta un impatto negativo sul business ma anche un duro colpo per la reputazione aziendale. In tal senso, le misure preventive rappresentano strumenti chiave per anticipare le crisi e proteggere la web reputation.
Per questo è fondamentale promuovere una vera e propria cultura della sicurezza che coinvolga ogni persona in azienda attraverso la formazione continua, la trasparenza nella gestione dei data breach (come previsto dal GDPR) e l’adozione di strategie di comunicazione efficaci.
In un contesto dove le minacce si fanno sempre più sofisticate, ogni persona in azienda può contribuire a costruire un’identità digitale forte, credibile e resiliente, capace di proteggere l’intero ecosistema aziendale, inclusa la supply chain.
L’importanza della web reputation
Nella società digitale vi è un legame indissolubile tra la competitività di un’impresa e la sua presenza online. È di primaria importanza, dunque, scongiurare il trade-off tra questi due ambiti, al fine di minimizzare gli impatti negativi sul business che possono generarsi a seguito di un danno reputazionale in rete.
A tal riguardo, l’immagine che un’azienda restituisce di sé all’esterno, in termini di percezione che ne hanno i diversi stakeholders, costituisce la sua web reputation. Pertanto, un errore di comunicazione e/o nella gestione della stessa può avere effetti deleteri sul business.
Rilevante, in tal senso, appare essere una gestione sicura dei dati degli utenti: un eventuale data breach può far perdere, infatti, la fiducia di questi ultimi. A tal proposito, particolarmente insidiose, per le loro modalità, risultano essere le tecniche di social engineering, consistenti in una serie di attacchi informatici che fanno leva sulla manipolazione della psiche della persona fisica, anello debole nella catena di gestione della sicurezza aziendale.
I rischi informatici
Esistono diversi vettori di attacco informatico – tra i quali phishing e DDoS – che causano fuga di dati riservati e perdita di informazioni, anche sotto i profili del know-how e della proprietà intellettuale, con conseguenti ripercussioni economiche e danni reputazionali. Ad accomunare tali forme di attacco, vi è lo scopo di ingenerare nel dipendente bersaglio un senso di urgenza a fronte di una richiesta di aiuto, che lo induce a prendere decisioni impulsive per compiere attività quali, ad esempio, rispondere prontamente ad una richiesta di denaro ovvero di accesso ai sistemi.
Ne discende che è interesse delle aziende coniugare la prevenzione di questa tipologia di attacchi con le linee di operatività strategiche. In tal senso, occorre, implementare le misure interne legate alla security awareness, affinché possa instaurarsi un rapporto di diretta proporzionalità tra il livello di sicurezza cyber dei singoli dipendenti e quello complessivo della struttura organizzativa.
A livello legislativo, non mancano obblighi a carico delle aziende di dotarsi di misure di sicurezza. In particolar modo, rileva l’art. 32 del GDPR, che impone l’obbligo per coloro che trattano dati personali di adottare tutte le misure necessarie (tra le quali pseudonimizzazione, cifratura dei dati e procedure di test, verify and evaluate). Infatti, nonostante non sia espressamente previsto dal Regolamento, è opportuno che le aziende si attivino affinchè i dipendenti siano indirizzati verso momenti formativi e siano resi edotti dei rischi legati alla sicurezza dei dati personali nello svolgimento dell’attività lavorativa.
Impatti e conseguenze dell’ingegneria sociale
È di tutta evidenza, dunque, la crescente pericolosità dell’ingegneria sociale, la cui sofisticatezza risiede in ciò che gli attacchi informatici non vengono perpetrati attraverso lo sfruttamento di vulnerabilità tecniche bensì di vulnerabilità psicologiche dei dipendenti.
Nello specifico, poi, ad apparire tutt’altro che trascurabili sono gli impatti negativi di tali attacchi sulla web reputation. I rischi di natura reputazionale ed economica, infatti, sono inscindibilmente correlati: la dispersione del patrimonio informativo riservato ovvero un blocco dell’operatività, avvenuti a seguito di attacchi sferzati sfruttando le tecniche di social engineering, potrebbero generare effetti irreversibili sul business aziendale.
Di particolare importanza, pertanto, risulta essere il danno reputazionale subito dalle imprese violate. Ciò ha comportato, nel recente passato, che molte imprese, i cui i dati sono stati sottratti a causa di un attacco informatico, fossero reticenti a divulgare al pubblico la notizia. Il legislatore, al fine di tutelare la trasparenza del trattamento e consentire agli interessati di adottare le opportune cautele, ha previsto – all’art. 34 del GDPR – l’obbligo del Titolare di comunicare con un “linguaggio semplice e chiaro” le informazioni circa il data breach.
I menzionati obblighi escludono, oramai, la possibilità di non rendere pubblico l’avvenuto data breach, onerando, invece, l’impresa bersaglio dell’individuazione delle migliori modalità per comunicare all’utenza l’avvenuta violazione. Ed anche le modalità della comunicazione, si badi, comporteranno effetti incisivi sul business: per tale ragione, è fondamentale che nella gestione dei data breach ci siano esperti di web reputation, che possano provvedere ad educare ed informare i dipendenti sulle principali metodiche di attacco e relativi rischi nonché sulle modalità e le regole di comportamento volte a prevenirli, al fine di limitare l’esposizione alla social engineering e preservare la reputazione aziendale.
Conclusioni
Alla luce di quanto detto e in base alle tematiche trattate, non può che rinvenirsi uno strettissimo legame tra la reputazione che un’azienda si costruisce nel mondo digitale (web reputation) e l’impatto negativo che su di essa può avere l’essere stati vittime di attacchi informatici, perpetrati attraverso tecniche di social engineering, che non si è stati in grado di fronteggiare.
Informare, sensibilizzare ed educare i dipendenti affinché sviluppino una cultura alla sicurezza informatica è fondamentale per la protezione e la tutela degli asset aziendali, evitando di esporre l’azienda nella quale operano a possibili pericoli che possono compromettere anche l’intera supply chain, con ripercussioni sul business.
Le aziende sono fatte di persone: se ciascuno può dare il proprio contributo concreto con gesti e accortezze quotidiane volte a proteggere e rafforzare l’ecosistema aziendale, ciò non potrà che avere effetti positivi sulla percezione positiva dell’azienda nel panorama industriale e sulla sua reputazione quale azienda sensibile e proattiva rispetto alle più moderne istanze della cybersecurity.
Gli autori
Erica Onorati, laureata in Giurisprudenza all’Università LUISS Guido Carli di Roma con una tesi in diritto civile intitolata “Le clausole di rinegoziazione”, incentrata sull’analisi e sull’applicabilità della rinegoziazione in materia contrattuale. Ha poi conseguito un Executive Master presso il Sole 24 Ore Business School in Cybersecurity e Data Protection, avente ad oggetto l’analisi delle strategie per proteggere gli asset aziendali e prevenire i rischi informatici. Specializzata nel profilo di diritto civile, ha approfondito temi legati alla responsabilità contrattuale ed extracontrattuale e al diritto societario e commerciale. Dopo diverse esperienze maturate in ambito legale in contesti aziendali come giurista d’impresa, attualmente ricopre il ruolo di Legal Supervisor in Telsy, con un focus incentrato sulla gestione della contrattualistica d’impresa, sulla consulenza legale fornita alle linee di business coinvolte nei vari settori di operatività aziendale, sulle operazioni straordinarie e sulla segreteria societaria.
Niccolò Francesco Terracciano, studente di Giurisprudenza presso l’Università LUISS Guido Carli di Roma, ha maturato esperienza in associazioni senza scopo di lucro, avendo modo di approfondire le tematiche relative al diritto commerciale e alla consulenza d’impresa. Attualmente, ricopre il ruolo di Legal Specialist in Telsy dove sta sviluppando in ambito aziendale le conoscenze teoriche apprese durante il percorso di studi in materia di diritto civile, societario e delle nuove tecnologie.
Marco Rosafio, laureato in Giurisprudenza all’Università LUISS Guido Carli di Roma con una tesi in diritto delle crisi d’impresa, ha conseguito, presso la medesima Università, un Master di II livello in Diritto d’Impresa. Ha prestato la propria attività presso uno studio legale operando nell’ambito della contrattualistica d’impresa, del diritto societario e del contenzioso. Attualmente, ricopre il ruolo di Legal Assistant in Telsy, approfondendo le medesime tematiche all’interno del contesto aziendale.
Vittoria Toscani, laureata in scienze politiche all’Università La Sapienza di Roma con una tesi in storia del pensiero politico contemporaneo intitolata “Interventismo umanitario e responsabilità di proteggere”, ha conseguito un Master di II livello in Comunicazione e Marketing politico e istituzionale presso l’Università LUISS Guido Carli di Roma con una tesi in Brand storytelling e Media Company. Ha maturato diverse esperienze nel settore istituzionale, prima come assistente parlamentare presso il Senato della Repubblica poi nel campo delle relazioni istituzionali sia a livello territoriale che nazionale per diverse realtà aziendali. Attualmente, ricopre il ruolo di Regulatory Specialist in Telsy, monitorando il cammino di una legge con particolare attenzione all’analisi degli impatti normativi sul business aziendale.