Articolo di: Matteo Gianniello
27/08/2020
Quando si sente parlare di attacchi informatici o violazione dei dati, assume molta importanza l’aspetto economico dell’evento come ad esempio richieste di riscatto o sanzioni comminate dalle autorità. Riscuote sempre un alto livello di stupore e indignazione il quantitativo di denaro richiesto, soprattutto per i non addetti ai lavori.
Pensandoci bene però quella somma può essere corrisposta e assorbita dal bilancio aziendale, occorre considerare anche le conseguenze di questi eventi ed è per questo che parliamo di danni indiretti o indotti.
Questi nascono e si presentano in un secondo momento, rimanendo nascosti in periodi di relativa normalità e sono difficilmente quantificabili a priori perché sono direttamente proporzionali all’evento stesso e alle dimensioni aziendali.
In questo articolo ne descriveremo due tipologie e aiuteremo i lettori ad individuare quali possono essere le best practices da utilizzare per prevenirli o limitarne l’entità.
Recovery
La fase di ripristino comprende un insieme di procedure, esse vengono utilizzate quando bisogna far tornare operative tutte le infrastrutture e le tecnologie che permettono il completo funzionamento del sistema.
Possono essere raccolte dentro il D.R.P (disaster recovery plan) un piano che dovrebbe essere presente in tutte le imprese. Più l’impresa è sviluppata, più sarà articolato e complesso il piano di recupero, è importante per la realtà produttiva possedere questo documento perché permette di conoscere tutti gli step da fare in caso di bisogno e di conseguenza ottimizzare i tempi di reazione.
Purtroppo molte aziende, soprattutto quelle di piccole dimensioni, non adottano queste procedure. Secondo molte ricerche condotte in questo campo ci sono ancora realtà che non prevedono l’adozione di politiche di business continuity, correndo il rischio di dover ricostruire da zero in caso di business interruption, sia esso un attacco informatico o un evento calamitoso.
Ritrovarsi in questa situazione, costretti a ricominciare tutto da capo, significherebbe
dover ricostruire interi database contenenti tutte le informazioni sensibili e non, accumulate negli anni di attività
spendendo ingenti somme nella speranza di recuperare qualcosa.
Cosa comporterebbe quindi, non solo dal punto di vista economico, non disporre più dei propri dati?
Questa considerazione è ben presente nella mente del criminale informatico.
È proprio questa una leva emotiva utilizzata contro le sue vittime, forzandole ad accettare il pagamento della somma richiesta come riscatto.
Pagare, oltre a compiere un reato, non assicura la restituzione certa delle informazioni sottratte.
La perdita di reputazione è forse il danno più ingente che possa manifestarsi e non si può quantificare in modo immediato.
La vediamo verificarsi a seguito del data breach ed è direttamente proporzionale al modo in qui l’azienda affronta il problema e alle risorse messe in campo.
Potrebbero emergere carenze strumentali e impreparazione organizzativa essendo state sempre messe in secondo piano, nonostante le raccomandazioni. Possiamo definire questo danno una vera e propria perdita aggregata perché coinvolge molti fattori e chiama in causa diverse funzioni aziendali.
Il Gdpr è molto chiaro sotto questo aspetto: in caso di violazione il titolare del trattamento informa le autorità competenti e tutti gli interessati senza ingiustificato ritardo. Possiamo considerarla un’auto denuncia che comporta un’assunzione di diverse responsabilità, con questo procedimento l’azienda dimostra la sua attenzione verso le tematiche legate alla sicurezza delle informazioni.
Farsi trovare impreparati insinuerebbe nel pensiero degli stakeholder un giudizio di inaffidabilità producendo conseguenze negative, addirittura l’impresa potrebbe affrontare cause legali e richieste di risarcimento.
Cosa è meglio fare?
La risposta è semplice: agire subito e non procrastinare.
Il famoso detto “prevenire è meglio che curare” calza in modo perfetto.
Quando parliamo di procedure di ripristino occorre adottare un approccio proattivo e lungimirante, programmare e condurre simulazioni per verificare il funzionamento delle procedure ed intervenire qualora ci fossero da correggere eventuali intoppi, cercando di renderle sempre più efficienti.
Il mercato in cui si opera e l’interdipendenza con altri attori economici, potrebbe richiedere il rispetto di standard qualitativi molto esigenti da rispettare.
Inoltre, contare su tempi di ripristino certi permette di ridurre l’inattività e consente il ritorno alla piena operatività nel minor tempo possibile.
D’altra parte, la totale impreparazione potrebbe mettere in seria difficoltà l’azienda, determinandone anche la chiusura definitiva nei casi peggiori. Prendere coscienza di questi aspetti è il primo passo da fare, chiedere la consulenza di società che operano nel settore del disaster recovery aiuterà a scegliere la strategia e gli strumenti da adottare.
Una maggiore consapevolezza si traduce in benefici veri e propri perché le aziende con valutazioni di responsabilità più elevate, secondo il Data Privacy Benchmark Cisco 2020 (valutati utilizzando l’Accountability Wheel del Centre for Information Policy Leadership) sperimentano minori danni economici legati alle violazioni, e una perdita di reputazione è senz’altro una di queste.
Le aspettative in queste tematiche costituiranno sempre di più i nuovi vantaggi competitivi da spendersi agli occhi dei nuovi target di mercato di domani. Nel percorso intrapreso per garantire la protezione dei dati degli interessati è compresa anche la capacità di reazione ad eventi straordinari che non potevano essere previsti, senz’altro di questa lungimiranza ne beneficerà anche il brand, infatti comunicando gli sforzi fatti e le risorse impiegate in queste aree d’intervento l’azienda potrà comunicare al mercato una maggiore solidità, guadagnandosi l’attenzione dei clienti più esigenti in materia o di nuovi investitori.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cyber Italia
Cyber Italia
Cybercrime
Cybercrime
Cybercrime