Per spiegare il legame tra cyber security e brand reputation è sufficiente riferirsi alla cronaca recente. Il 7 settembre 2017, il board di Equifax (società statunitense di primo piano) ha annunciato pubblicamente di aver subito una violazione dei suoi sistemi che ha permesso a un gruppo di pirati informatici di rubare le informazioni personali di 140 milioni di cittadini statunitensi. A distanza di quasi tre anni, secondo gli analisti finanziari questo episodio avrebbe provocato alla multinazionale statunitense (tra i veri “big” del settore finanziario) una perdita complessiva di 1,4 miliardi di dollari. Si tratta probabilmente del caso più eclatante avvenuto negli ultimi anni, che mette in luce l’impatto che può avere un incidente informatico sulla reputazione di un’azienda e, a cascata, sulla sua stabilità economica.
Cyber security e brand reputation: la tutela dei dati sensibili
L’episodio citato, ovviamente, è un caso limite. Ha coinvolto, infatti, una società quotata in borsa e che opera in un settore, quello del credito, in cui il rapporto fiduciario ha un ruolo fondamentale. Il nodo chiave della vicenda Equifax, però, è il fatto che la violazione subita dall’azienda è risultata essere, per prima cosa, il frutto di una gestione approssimativa della cyber security. Qualcosa che l’opinione pubblica e i mercati, oggi, non sono disposti a perdonare. La tutela dei dati sensibili è considerata un dovere per qualsiasi azienda e la perdita in termini d’immagine per un’infrazione a un dovere che coinvolge privacy e sicurezza può essere estremamente pesante. Non solo: a causa delle nuove normative in tema di trattamento dei dati personali (in Unione Europea il GDPR) l’azienda che subisce un data breach rischia di essere sottoposta a procedimenti di indagine da parte delle autorità garanti, subire sanzioni o cause legali che peggiorano ulteriormente la brand reputation.
Non solo data breach per il rapporto tra cyber security e brand reputation
Il legame tra brand reputation e attacchi informatici interessa una sfera decisamente ampia, che non si limita all’ipotesi di una violazione dei sistemi informatici. A influenzare la reputazione aziendale è anche quella forma di “percezione diffusa” legata, per esempio, alla possibilità che i clienti dell’azienda possano finire vittima di un attacco informatico che fa leva o prende di mira i servizi aziendali. In altre parole, eventuali campagne di spam o di phishing (i tentativi di frode per rubare le credenziali degli utenti – ndr) che coinvolgono in qualche modo il nome dell’azienda. In questo caso, naturalmente, il tema non è quello di una responsabilità diretta della dirigenza come nel caso Equifax, ma di una sensazione diffusa di insicurezza e di fragilità dei sistemi che può non aver nessun fondamento reale, che a livello di percezione può provocare un danno reputazionale notevole.
La cyber security e la brand reputtation verso le altre aziende
Se il primo e più ovvio effetto a livello di brand reputation è quello che coinvolge gli utenti, cioè la clientela diffusa, una violazione dei sistemi informatici e del conseguente danno reputazionale si riverbera però anche a un altro livello: quello di fornitori, clienti professionali e partner. L’impatto, in questo caso, rischia però di essere ancora più grave. Nel panorama attuale di progressiva digital transformation, la collaborazione a livello aziendale si traduce, inevitabilmente, in una sovrapposizione delle infrastrutture tecnologiche. In quest’ottica, un’azienda che dimostra di non avere un adeguato livello di sicurezza a livello IT, viene automaticamente considerata un fattore di rischio e perde conseguentemente appeal come business partner. La logica è semplice: una collaborazione con un’impresa che ha uno scarso livello di sicurezza informatica rischia di innescare un “effetto domino” che può coinvolgere tutti i soggetti che hanno rapporti con l’azienda. Subire un data breach, di conseguenza, rende l’azienda meno attrattiva per gli altri operatori.
