Fra tutti i rischi a cui può essere esposta un’azienda quello legato alla cyber reputation è uno fra i più importanti. Infatti, il rischio di reputazione è strategico e potenzialmente legato a un importante impatto materiale, tanto più nell’era dell’iper-trasparenza e del web.
Ciò deve essere compreso chiaramente sia dal management sia dai consiglio d‘amministrazione. Nella cyber reputation management le persone incaricate di tutelare la web reputation, devono avere il giusto supporto per allineare gestione del rischio e strategia – pianificazione aziendale.
La cyber reputation management e i rischi di compromissione
La cyber reputation è la “rappresentazione virtuale” di una azienda sul web. È un concetto importante perché può essere compromessa da azioni dirette, indirette, da parti di terzi o da situazioni di rischio. Tutto ciò concorre a screditare i servizi, i prodotti e l’immagine stessa dell’organizzazione in rete.
Per questo motivo la cyber reputation abbraccia tutti i possibili ambiti e si estende anche al fatto che il danno di reputazione “digitale” influisce sul normale funzionamento di un’azienda o la espone a ulteriori tipologie di attacco.
Il rischio cyber, ovvero di subire un attacco informatico, e quello reputazionale oggi si fondono in un unicum indicato come cyber reputation risk. Questa rappresenta una nuova e significativa categoria di minaccia da affrontare per tutte le organizzazioni.
Già nel 2014 la survey dal titolo “2014 global survey on reputation risk” di Deloitte, svolta su oltre 300 dirigenti presi a campione e centrata sul rischio reputazionale, aveva fatto emergere come la sicurezza fisica o informatica fosse considerata uno dei tre fattori chiave che potevano incidere sulla reputazione.
Riportando un caso reale era stato dimostrato come gli incidenti di sicurezza per una determinata organizzazione ne avessero “rovinato la reputazione” con una crescente entità dell’impatto del sentiment a medio e lungo termine. Questo caso reale ha evidenziato come le violazioni dei dati influissero negativamente sull’immagine di un’azienda.
Questo risultato è anche più vero nella cyber security. Perché comprende tutti gli ambiti in cui le informazioni sono elaborate e trattate: ambito fisico, logico, informatico ed organizzativo.
Perché gli stakeholder guardano alla cyber reputation
Il rischio di reputazione è un “rischio amplificatore” che si sovrappone o si collega ad altre minacce, aggiungendo implicazioni negative o positive alla rilevanza, durata o espansione degli altri eventi sull’organizzazione, sulla persona, prodotto o servizio interessati (Fonte The Reputation Risk Handbook).
Il ruolo degli stakeholder nell’equazione del rischio di reputazione è fondamentale. Sapere chi sono i propri stakeholder, comprendere le loro aspettative nei confronti della propria organizzazione e stabilire le priorità. Tutto ciò ha a che fare con online reputation management e di conseguenza con una gestione efficace del rischio di reputazione.
Nel contesto della cyber security questa dinamica assume un carattere di immediatezza e pervasività. A causa del passaparola digitale, amplificato dai social e dalle chat, dipende il picco positivo di reputazione, quello negativo o molto negativo. Ciò significa che in caso di incidente e di percezione di non sicurezza e quindi di sfiducia nell’azienda.
La governance del cyber rischio e il monitoraggio della cyber reputation dal management
Alla luce di quanto fin qui trattato, tutelare la cyber reputation richiede un approccio di governance omnicomprensivo. Un approccio che comprende tutte le categorie di rischio influenzano negativamente l’azienda, facendola apparire criticabile agli occhi di clienti potenziali o potenziali partner.
Il rischio di perdita della reputazione, in particolare, dovrebbe essere considerato e stimato introducendo contromisure di mitigazione. Una delle azioni preventive per concorrere alla protezione della reputazione aziendale è lo sviluppo di una strategia di gestione e monitoraggio delle informazioni. Ciò sia dentro che fuori la propria organizzazione, soprattutto legate al web e al dark web.
Da questi ambiti, infatti, possono provenire attacchi alla reputazione senza che i cyber criminali abbiano minimamente bisogno di entrare in contatto con l’azienda e con i suoi sistemi ICT (si pensi ad un malvertising o ad un mirroring del sito aziendale che diffonde malware).
Gli strumenti di next generation analytics che abilitano i servizi di cyber “intelligence”, possono mostrare la situazione in tempo reale e rivelare possibili scenari di attacco e potenziali minacce a cui l’azienda è esposta, in modo che sia possibile proteggere, in ottica preventiva, la propria cyber reputation.
