Gli incidenti di cyber security possono far fluttuare il valore di mercato delle aziende quotate. Oltreoceano, la Securities and Exchange Commission (SEC) monitora Wall Street chiedendo alle aziende di comunicare pubblicamente eventuali incidenti.
La reputazione e il brand delle aziende possono essere danneggiate se informazioni così sensibili non vengono gestite e comunicate nel modo corretto.
Pertanto, è fondamentale comprendere le strategie da adottare per limitare eventuali impatti derivati dagli incidenti di cyber security. In questo scenario delicato, emerge l’importante ruolo del Chief Marketing Officer, come potenziale stakeholder che detiene il know-how e il presidio dei processi aziendali di gestione delle comunicazioni degli incidenti.
DORA, pubblicate nuove norme tecniche e linee guida: ecco come cambia la gestione del rischio
Comunicare gli incidenti cyber: i requisiti della SEC
A partire dal 18 dicembre 2023, la nuova normativa sul reporting degli incidenti cyber, introdotta dalla Securities and Exchange Commission, obbliga a tutte le società quotate a Wall Street di notificare gli attacchi informatici.
Basta incidenti in università: scopri il tuo nuovo sistema di controllo accessi
La SEC ha introdotto sia un obbligo di reporting periodico su base annuale, inerente a politiche e strategie di gestione della cyber security, sia un obbligo di comunicazione immediata a seguito di un incidente informatico. Le aziende incluse nel perimetro dovranno comunicare gli incidenti entro quattro giorni lavorativi dell’accertamento, indicandone i dettagli, l’ambito e l’impatto potenziale o effettivo.
Le aziende coinvolte, però, hanno espresso alcune perplessità. In particolare, si teme che la divulgazione rapida degli incidenti possa compromettere le analisi investigative, o che si possano sovraccaricare le funzioni di incident management, impattando negativamente sulle operation. Inoltre, ci si domanda quale possano essere gli impatti sulla reputazione aziendale.
Queste preoccupazioni sollevano tematiche significative sull’eventuale introduzione di requisiti analoghi in Europa. Tra le quotate europee si attende la reazione dell’UE e delle autorità di regolamentazione nazionali in quest’ambito, valutando attentamente come gestire l’equilibrio tra trasparenza e sicurezza operativa.
Un’eventuale adozione dei requisiti SEC in Europa
Le regole recentemente introdotte riflettono alcune direttrici già definite nella regolamentazione comunitaria, che sta ponendo sempre più l’accento sulla necessità di una protezione sistemica e sull’adozione di un approccio strategico alla gestione della cyber security, come si evince ad esempio dal Digital Operational Resilience Act.
Pertanto, per quanto riguarda i requisiti della SEC inerenti alla reportistica annuale sulla cyber security posture, sembrerebbe che in Europa siano già stati posti dei tasselli in tal senso.
Un ulteriore elemento su cui il legislatore europeo sta promuovendo la proattività delle aziende è l’information sharing rispetto alle vulnerabilità, anche se non vi siano attualmente criteri normativi specifici che riguardino la loro divulgazione preventiva.
Infine, bisogna considerare che le informazioni sugli incidenti cyber sono già incluse nel Regolamento UE 2014/596 come informazioni price-sensitive, soprattutto nel caso in cui queste incidano sul vantaggio competitivo delle aziende.
Pertanto, si può prevedere che l’evolversi del quadro normativo europeo includerà, con crescente probabilità, l’istituzione di obblighi di reporting sugli incidenti informatici come componente essenziale della legislazione.
In merito a questa problematica, la Consob ha riconosciuto l’importanza cruciale degli incidenti cyber, sottolineando la necessità di una comunicazione efficace al mercato riguardo le informazioni di rilievo e evidenziando le responsabilità incombenti sui Consigli di Amministrazione per la gestione di tali eventi.
Si sostiene che l’armonizzazione delle normative europee con le regolazioni della SEC potrebbe stabilire standard uniformi per la segnalazione degli incidenti informatici, contrastando il regime attuale che lascia alle imprese il compito di decidere autonomamente l’importanza degli incidenti cyber e le relative tempistiche di divulgazione.
In tale scenario, le direttive della SEC potrebbero segnare un punto di svolta, potenziando la trasparenza e la tempestività nella comunicazione degli incidenti informatici.
Alla luce di questi potenziali cambiamenti strutturali nelle responsabilità delle aziende quotate, risulta necessario adottare un approccio metodico e dettagliato rispetto al ruolo della comunicazione tra gli stakeholder rilevanti da coinvolgere nella gestione degli incidenti cyber.
Infatti, la specificità della comunicazione dell’incidente da un lato, con la tutela di determinate informazioni sensibili dall’altro e la valutazione delle conseguenze finanziarie che potrebbero derivarne sottolinea l’importanza di definire processi manageriali chiari che siano allineati con gli obiettivi del piano strategico aziendale.
Le ombre degli incidenti cyber sul valore di mercato e sull’immagine delle organizzazioni
La relazione tra incidenti di cyber security e i movimenti dei mercati finanziari è stata confermata a più riprese dalla letteratura scientifica; tuttavia, non si possono identificare con chiarezza ancora quali possano essere le conseguenze specifiche degli incidenti sul valore azionario delle aziende.
Le variabili che conferiscono un certo grado di imprevedibilità sono molteplici, tanto che anche per gli osservatori più esperti indagare la relazione tra incidenti cyber e fluttuazioni sul mercato rimane un annoso compito la cui applicabilità a beneficio delle aziende è tuttora limitata.
Da un’analisi preliminare della letteratura disponibile emergono alcuni punti di interesse.
- Impatto immediato degli incidenti cyber sul valore azionario e sull’attività di mercato: iniziamo con una panoramica sugli effetti a breve termine di un incidente cyber. Diverse analisi indicano che immediatamente dopo la divulgazione di un incidente, le aziende spesso sperimentano una flessione nel prezzo delle azioni e un picco nell’attività di trading – un fenomeno caratterizzato da un incremento nella vendita di azioni e una maggiore liquidità sul mercato. Questa turbolenza sembra essere alimentata dalla reazione degli investitori alle coperture mediatiche, che amplificano la portata della violazione nella sfera pubblica.
- Lungo termine: resilienza del valore di mercato e cambiamenti organizzativi post-incidente: spostandoci sull’analisi a lungo termine, osserviamo che il valore di mercato e le prestazioni aziendali sembrano resistere all’impatto dei singoli incidenti cyber. Tuttavia, emerge un effetto duraturo sulle politiche aziendali. Una crisi cyber spesso può innescare una riorganizzazione interna, con politiche e procedure che si evolvono per includere le lesson learnt. Interessante è il fenomeno di centralizzazione dell’accountability, con i CEO che acquisiscono maggiore autonomia nel richiedere budget per misure di sicurezza e nell’implementare direttive straordinarie. Queste soluzioni di valore introdotte in risposta alla crisi tendono a rimanere in vigore ben oltre la sua risoluzione, segnando un’eventuale evoluzione strategica nella governance aziendale.
Per riassumere, i risultati suggeriscono che un incidente cyber possa costituire uno shock per le aziende quotate e che abbia un impatto considerevole a breve termine sul valore azionario. La mancanza di effetto a lungo termine sulle prestazioni delle aziende bersaglio potrebbe essere dovuta a una combinazione di fattori, tra cui ad esempio:
- Il vantaggio competitivo dell’azienda impattata che permane nonostante l’incidente cyber.
- L’impatto dell’incidente che non costituisce un elemento significativo per il core business.
- La gestione dell’incidente che ha consentito di limitare l’esposizione del brand e della reputazione aziendale.
Il ruolo cruciale del Chief Marketing Officer nella gestione degli incidenti
In effetti, a volte, nonostante gli incidenti, le aziende sono preparate rispetto ad eventuali riassetti organizzativi, comunicazioni verso il mercato, strategie di Public Relation e di Marketing in modo da garantire il posizionamento strategico sul medio-lungo termine.
Ci chiediamo ora quali stakeholder aziendale possono gestire in maniera efficace eventuali danni reputazionali derivati da un incidente cyber? E come possono le organizzazioni affrontare queste complessità per meglio preservare il loro posizionamento strategico nel medio-lungo termine?
La figura del Chief Marketing Officer (CMO), che detiene spesso il presidio dei processi aziendali e del know-how rispetto alla tutela e promozione del brand sul mercato, assume un ruolo strategico non solo nel prevenire danni reputazionali, ma anche nel guidare la ripresa post-crisi.
La figura del CMO può costituire un pilastro nel riposizionamento il brand, comunicando efficacemente con il mercato e rafforzando la fiducia dei clienti e degli azionisti nella sicurezza e nella continuità dei servizi.
Considerato l’eventuale impatto sull’affidabilità del brand, sulla user experience e sulla percezione del mercato, a seguito di incidente cyber, i CMO stanno diventando partecipanti attivi nella prevenzione delle crisi, collaborando strettamente con i C-level nello sviluppo delle strategie di cyber security.
Tradizionalmente si tende a delegare la responsabilità della cyber security a figure come il Chief Information Security Officer (CISO) o il Chief Information Officer (CIO). Tuttavia, come brevemente osservato nel corso della presente analisi una gestione efficace della cyber security richiede un know-how specialistico a che vada a completare le expertise tecniche di risposta agli incidenti.
In questo caso, è necessaria una comprensione approfondita del brand e delle dinamiche legate al core business e verso i consumatori. I CMO, con la loro esperienza diretta nella gestione del valore del brand, si posizionano efficacemente per contribuire a sviluppare una strategia di resilienza olistica che abbia un addentellato anche nell’area legata alla reputazione aziendale.
Questa area di expertise che già risiede nelle funzioni aziendali diventerebbe quindi ricevente rispetto alle tassonomie e alle pratiche di gestione della cyber security già sviluppate e promotore di azioni mirate alla tutela del brand verso i consumatori e verso il mercato a seguito di incidenti cyber.
Possiamo quindi ora brevemente identificare alcuni strumenti metodologici definiti all’interno della letteratura e delle best practice inerenti alla gestione delle corporate communication.
Strumenti metodologici per gestire la comunicazione in caso di crisi cyber
Il settore delle pubbliche relazioni ha condotto ricerche approfondite sulle strategie di comunicazione in caso di crisi.
Due modelli spiccano per la loro rilevanza: la “Situational Crisis Communication Theory” (SCCT) di Coombs e la “Image Restoration Theory” di Benoit, che offrono un quadro operativo per l’implementazione nei processi aziendali durante le crisi.
In particolare, emergono tre principi che, se ben applicati, possono migliorare significativamente la gestione della comunicazione in momenti critici, aumentando la trasparenza e la fiducia da parte della customer base e degli altri stakeholder.
- Il framing della comunicazione. Questo approccio si concentra sulla semplificazione di eventi complessi e tecnici in concetti facilmente comprensibili. Si rivela essenziale sia nella comunicazione interna tra i vari stakeholder in una crisi cyber, sia nella comunicazione esterna verso la customer base, facilitando la comprensione e il coinvolgimento.
- Gli impatti emotivi sulla customer base. Dopo un incidente cyber, la risonanza emotiva tra i clienti può intensificarsi a causa della diffusione delle notizie online. Viene evidenziato come una user experience negativa, dovuta a un’interruzione di servizio, possa generare un passaparola negativo all’interno della customer base e danneggiare la reputazione aziendale.
- La gestione dei processi aziendali e l’outsourcing. Coordinare le risposte a una crisi e gestire la complessità derivante dalle funzioni affidate a terzi rappresenta una sfida notevole. Spesso i clienti non sono consapevoli del coinvolgimento di terze parti nei servizi che utilizzano, il che può portare a tensioni con i fornitori e a conseguenze legali. È quindi fondamentale comunicare con chiarezza le procedure e le misure di sicurezza in atto.
Nell’ambito dei framework per la gestione delle comunicazioni in situazioni di crisi, un esame dettagliato degli studi, inclusi alcuni realizzati dall’Università di Kent, ha rivelato che determinate pratiche sono fondamentali per la definizione di una strategia di comunicazione aziendale efficace e possono avere un impatto significativo sulla reputazione di un’organizzazione.
In particolare, vengono rilevati alcuni fattori che vengono monitorati dal mercato e dalla customer base per valutare l’operato delle aziende nella gestione della comunicazione degli incidenti:
- Credibilità delle dichiarazioni: è fondamentale che le dichiarazioni di un’organizzazione in seguito ad un incidente siano percepite come credibili. La verifica dei fatti è cruciale, per evitare impatti significativi sulla trasparenza delle pratiche aziendali.
- Minimizzazione del danno: sottovalutare pubblicamente la gravità di un attacco può calmare i mercati in un primo momento, ma nel caso dovessero emergere degli insight relativamente alla gravità dell’incidente questo potrebbe impattare negativamente l’azienda.
- Tempistiche della comunicazione: Informare il pubblico in maniera tempestiva dopo una violazione è vitale. Un’attesa eccessiva può portare a perdite di credibilità e a pubblicità negativa, soprattutto se la notizia viene diffusa da terzi.
- Approccio customer centric: le azioni intraprese per proteggere le vittime di una violazione devono essere ben ponderate. Offrire compensi che non rispecchino l’intera portata dei danni può risultare controproducente.
- Violazioni ricorrenti: È importante che le comunicazioni post-incidente riflettano l’apprendimento dalle esperienze passate, evitando di dare l’impressione che non siano state posti i necessari presidi di sicurezza atti a prevenire gli incidenti.
- Ammissione di responsabilità: risulta positivo per l’immagine aziendale accompagnare eventuali ammissioni di responsabilità con la comunicazione delle misure di mitigazione necessarie per supportate la fiducia dei consumatori.
La disamina degli elementi sottolinea l’importanza di elaborare una strategia comprensiva che integri sia misure preventive basate sull’analisi dei dati storici rispetto alle reazioni del mercato a precedenti incidenti di sicurezza, sia azioni coordinate ed efficaci durante la gestione della comunicazione di un incidente cyber.
Si può ipotizzare che questo tipo di azioni risulti congiuntamente in capo alle funzioni di cyber security e alla funzione aziendale atta alla gestione della corporate communication e tutela del brand, per comodità identificata nel corso di questa analisi nella figura del Chief Marketing Officer.
Il CMO dovrebbe quindi agire su due filoni per potenziare la resilienza dell’azienda in caso di incidenti cyber rilevanti. Da un lato promuovere iniziative in ottica preventiva quali:
- Definire gli obiettivi strategici inerenti al posizionamento del brand rispetto al mercato e ai consumatori.
- Mantenere una knowledge base di riferimento con le informazioni necessarie per gestire una crisi, funzionali ad informare e coinvolgere, le entità esterne parte dell’ecosistema aziendale e gli stakeholder interni con responsabilità di gestione degli incidenti.
Dall’altro lato definire un modello operativo che consideri in caso di incidente cyber:
- Se divulgare la violazione, valutando l’impatto e le implicazioni legali e reputazionali.
- Cosa divulgare, stabilendo quali informazioni siano essenziali da comunicare agli stakeholder interessati.
- Quando divulgare, scegliendo il momento opportuno per comunicare la violazione in modo da bilanciare la trasparenza e la necessità di fornire informazioni accurate.
- Come divulgare, determinando il metodo più efficace e appropriato per comunicare la crisi agli stakeholder.
Conclusioni
La breve analisi rappresentata aveva l’obiettivo di sottolineare, anche attraverso l’osservazione dell’evoluzione normativa degli USA, la relazione tra la comunicazione degli incidenti di cyber security, le fluttuazioni del valore azionario e gli impatti reputazionali.
Per rispondere efficacemente alla complessità degli ecosistemi delle aziende quotate emerge la necessità di rafforzare e articolare processi manageriali adeguati, per comunicare gli incidenti cyber in linea rispetto agli obiettivi strategici.
È in quest’ottica che si colloca un importante contributo dei Chief Marketing Officer nella gestione efficace della cyber security aziendale.
Sfrutta il potenziale della sicurezza unificata con l’Extended Detection and Response
@RIPRODUZIONE RISERVATA