Sempre più connesso ai fenomeni di cyber crime e di social media è il concetto della reputazione, che sta via via caratterizzandosi come un rischio collaterale che le moderne organizzazioni devono valutare e gestire, al pari di altri rischi. Pur trattandosi di un rischio indiretto e non facilmente misurabile, il rischio reputazionale espone le aziende ad effetti che non possono e non devono essere trascurati.
La correlazione tra problematiche di sicurezza e reputazione viene messa in luce anche da alcuni report che si occupano di rischi e di sicurezza. In proposito vale la pena citare il Global Risk 2014 (Nona edizione) a cura del World Economic Forum (WEF), e il Global Economic Crime Survey 2014 – Addendum italiano (Pricewaterhouse Coopers).
Il Global Risk, individuando 31 rischi Globali ad alta severità e analizzandone le connessioni, considera5 macro aree: economica, ambientale, geopolitica, tecnologica e sociale. L’area tecnologica, quella dei cyber risk, sarà certamente destinata ad avere un ruolo sempre più decisivo nel futuro, vista l’espansione inarrestabile delle tecnologie e della loro applicazione nelle realtà aziendali e nel quotidiano delle persone. In quest’area, infatti, vengono collocati i principali rischi legati alla crescente centralità delle tecnologie dell’informazione e della comunicazione con riferimento a individui, imprese e governi. Tali rischi includono attacchi informatici, blocco delle infrastrutture e perdita di dati.
Considerato il panorama che emerge dal rapporto, è prioritario affrontare i rischi cyber promuovendo misure e metodi ad hoc, oltre che specifiche capacità organizzative. E occorre impegnarsi anche a far fronte agli impatti reputazionali legati a tali problematiche.
Il ruolo del cyberspazio, infatti, non ha una rilevanza solo tecnica e geopolitica ma anche di natura economica. Come si rileva dal rapporto citato, la cooperazione economica e la consapevolezza dei guadagni derivanti dal commerciare a livello mondiale hanno contribuito a promuovere le relazioni internazionali globali. Questa apertura si riflette anche sui rischi cyber. Oggi, infatti, non solo le transazioni, ma anche il reperimento di informazioni su persone e aziende avvengono nella Rete. Così come le recensioni rispetto all’operato di aziende, ai loro beni e servizi. Recensioni che possono influenzare e orientare – in positivo o in negativo – il consumatore.
Le aziende, dunque, cominciano a pensare ai rischi cyber anche tenendo conto degli impatti reputazionali. Un attacco cyber o una perdita di dati costituiscono, infatti, una situazione di “crisi” che rischia di compromettere la fiducia dei consumatori e creare danni oltre le previsioni. La gestione della crisi deve quindi integrare processi, attività, meccanismi decisionali e piani di comunicazione in un quadro organico finalizzato a preservare da un lato la continuità del business, dall’altro a ridurre gli impatti economici, sociali e reputazionali derivanti dall’evento critico. L’aspetto reputazionale legato ai rischi cyber emerge anche dalla lettura dei dati del Global Economic Crime Survey 2014 – Addendum italiano, indagine condotta nel mondo del business sul fenomeno delle frodi economico-finanziarie.
Il rapporto evidenzia che il cyber crime (frodi informatiche) è la seconda categoria di frode più diffusa, subito dopo l’appropriazione indebita ed alla pari con le frodi contabili. E ciò che preoccupa maggiormente le aziende italiane in termini dell’impatto del cybercrime sono proprio i danni reputazionali. Essi, infatti, sono la maggiore preoccupazione per il 65% delle aziende, seguiti dalla violazione di normative (64%), dalle perdite finanziarie direttamente derivanti dalla frode informatica (60%), dall’interruzione dei servizi (59%) a causa di attacchi a sistemi informativi centralizzati (hacking), dal furto o perdita di dati personali degli utenti (58%), dal furto di informazioni e dati riservati (55%).
Il rapporto inoltre osserva che le aziende sono preoccupate– per quanto riguarda le conseguenze delle frodi in generale, a prescindere dalla loro categoria – dai cosiddetti danni collaterali, che sono difficilmente quantificabili in termini finanziari. Infatti, nelle attività di lotta contro le frodi, le aziende manifestano una certa preoccupazione anche in tema di motivazione dei dipendenti (22% dei casi), di reputazione aziendale (17% dei casi) e di sanzioni delle autorità di vigilanza (13% dei casi).
In ogni caso, come si evidenzia dal rapporto, il cybercrime costituisce un problema non solo tecnologico, ma anche di tipo strategico, in quanto sempre più le aziende utilizzano le tecnologie e la Rete per lo svolgimento di processi e attività. Un altro aspetto importante da considerare è il ruolo rilevante che le Reti Sociali (social network) saranno destinati ad avere nei prossimi anni (e che già rivestono).
E’ una tendenza ormai accertata quella del crescente numero di persone e aziende che costruiscono in Rete i loro profili. A tal proposito va tenuto presente che, secondo il Rapporto Clusit 2014, le Reti Sociali sono ormai il principale veicolo di attività malevole.
Proprio per le loro caratteristiche e per le noncuranza con cui spesso gli utenti interagiscono, le Reti Sociali sono utilizzati dagli attaccanti per massimizzare l’effetto delle loro campagne di diffusione di malware, utilizzando tutto lo spettro delle tecniche di social engineering. Lo scopo, infatti, è di infettare il maggior numero possibile di dispositivi, tra i quali gli smartphone, sempre più bersagliati.
Senza contare che le stesse Reti Sociali rappresentano un canale importante di comunicazione, in grado di veicolare la “buona” così come la “cattiva” immagine di un’azienda o di specifici prodotti/servizi. E persino per le aziende che non hanno profili nelle Reti Sociali v’è da considerare l’esposizione a commenti e valutazioni da parte degli utenti. La gestione del rischio reputazionale comporta quindi una sfida per le aziende che deve basarsi – al momento – essenzialmente su due interventi: il monitoraggio continuo del valore della propria reputazione e la presa di consapevolezza di tale problematica a livello del management.
Riguardo al monitoraggio, occorre Innanzitutto che le aziende siano guidate nella scelta di strumenti ad hoc, costruiti secondo criteri di scientificità e in grado di rappresentare realmente il valore reputazionale dell’azienda oggetto di valutazione. Rilevare solo dati e percentuali, senza poi analizzare in termini qualitativi i trend emersi, non ne dà una rappresentazione esaustiva. Inoltre, la misurazione della reputazione deve coinvolge tutti gli stakeholder, e non può esaurirsi ai soli clienti e fornitori. Il personale interno, che è il primo promotore dell’immagine aziendale, deve essere coinvolto attivamente in tale processo di valutazione.
La reputazione di un’impresa, infatti, pur nella complessità della sua definizione, è comunque frutto delle interazioni tra la stessa e i suoi stakeholder, siano essi clienti, utenti, fornitori, personale interno, consulenti, ecc. Tutti questi soggetti, portatori di interessi relativi all’impresa, sviluppano impressioni e valutazioni in grado di indirizzare i propri comportamenti e quelli altrui. In linea generale, la reputazione di una persona (o di un’azienda) è determinata dall’espressione dei propri valori, dalla sfera di relazioni nel mondo sociale e dall’interazione con le risposte degli altri (Corradini, Ferraris di Celle, Nardelli, 2013).
Riguardo al secondo tipo di intervento, il coinvolgimento del management, è necessario operare una sensibilizzare sul tema della reputazione anche in connessione con altri rischi partendo dai livelli più alti delle organizzazioni per poter procedere ad un effettivo coinvolgimento del personale di tutti i livelli in attività di informazione e formazione specifiche. La parola chiave, ancora una volta, è prevenzione. Che per essere efficace deve necessariamente includere processi, attività e, soprattutto, le persone. Sono le persone a costruire, a percepire, a comunicare. E a fare la differenza, anche in termini reputazionali.
WEF, Global Risk 2014, Ninth Edition.
PWC’s 2014 Global Economic Crime Survey, Addendum Italiano. Isabella Corradini, Barbara Ferraris di Celle (a cura di).
La Reputazione. Nel tuo nome il tuo valore. Franco Angeli, in corso di pubblicazione.
Giuseppe Blasi e Antonello Gargano. Il Web cambia la mappa dei rischi. Rivista Internal Audit n. 75 – Ottobre/Dicembre 2012.
Con la casa editrice Franco Angeli, Isabella Corradini e Barbara Ferraris di Celle stanno portando avanti un progetto editoriale che intende affrontare il tema della reputazione attraverso una prospettiva multidisciplinare e intersettoriale facendo riferimento ad una moltitudine di contesti e di aree: dal mondo sanitario a quello bancario e della finanza, al suo rapporto con la privacy e con il mondo dei social network, agli strumenti che ne permettono la misurazione.
Il testo in pubblicazione offre una panoramica del concetto di reputazione e della sua espressione nei vari ambiti, pesantemente influenzata dalla pervasività della tecnologia nella società contemporanea.
I nuovi spazi virtuali hanno radicalmente cambiato le modalità di comunicazione e di partecipazione modificando anche gli impatti sulla reputazione.
Il mutamento tecnologico introdotto dal Web 2.0, infatti, rappresenta oggi un fenomeno di elevata portata a livello sociale e culturale grazie alla dinamicità delle relazioni, alla possibilità di partecipazione diretta e alla centralità dell’individuo. Ma la Reputazione, pur risentendo di tale influsso, rappresenta un valore sociale in quanto “espressione di propri valori e relazioni nel mondo sociale e interazione con le risposte degli altri.”
A cura di Isabella Corradini, Psicologa sociale, esperta di psicologia applicata alla sicurezza
Presidente Centro Ricerche Themis
Responsabile Divisione Sicurezza e Reputazione di Reputation Agency
isabellacorradini@themiscrime.com
Articolo pubblicato sulla rivista ICT Security – Marzo 2014
L'Unione Europea si trova nel mezzo di una trasformazione normativa senza precedenti con eIDAS 2,…
Al 22° Forum ICT Security, Igor Serraino – Independent ICT Advisor – ha trattato argomenti…
Il Federated Learning (FL) si configura come un paradigma emergente e altamente promettente nell'ambito dell'apprendimento…
Nel corso del Forum ICT Security 2024, l’intervento “Test di sicurezza avanzati: La sicurezza va…
L’intervento di Valerio Pastore, cofondatore di Cyber Grant, intitolato “Allarme Data Breach: 7 attacchi su…
L'evoluzione dell'Internet of Things (IoT) ha portato alla luce un fenomeno emergente nel panorama del…