Data breach, i 5 consigli per gestire la comunicazione dell’incidente

In caso di data breach, anche la comunicazione aziendale deve essere parte di una procedura da seguire quando si tratta di dire al mondo che purtroppo le misure di sicurezza non sono riuscite a impedire l’incidente.

Le ore che seguono un breach sono le più delicate, e il modo in cui le parole verranno gestite potrà fare la differenza nel destino dell’azienda.

Approfondiamo la situazione.

Valori aziendali e cyber security

Quando lo psicologo statunitense Abraham Maslow ideò la famosa “Piramide dei bisogni”, di sicuro la cyber security non era tra le minacce che affliggevano il genere umano. Ma tant’è che da allora ai giorni nostri poco è cambiato: soddisfatti i nostri bisogni fisiologici, avvertiamo la necessità di sentirci al sicuro.

Proviamo per un attimo ad immaginare la “Piramide dei bisogni dell’azienda”: se dovessimo disegnarla dove inseriremmo il bisogno di protezione, da cui oggi nessuna azienda è esente? Istintivamente verrebbe da pensare che i bisogni primordiali da soddisfare dovrebbero essere:

• clienti – paganti – e di conseguenza,
• fatturato,
• cash flow.

Ma senza una buona politica di sicurezza IT, possiamo proteggere il fatturato della nostra azienda? Senza un sistema che tuteli noi e i nostri stakeholder, possiamo mettere al sicuro commesse e fatturato? Come può sopravvivere tutto questo, a fronte di un attacco mirato o di un breach?

La sicurezza IT, e l’insieme di processi e procedure mirati a tutelare il nostro core business, devono essere necessariamente poste alla base della Piramide. Credo però che l’idea che il bisogno di protezione sia tra quelli “fisiologici” di ogni organismo produttivo e che vada al di là della prevenzione tecnologica.

Anche se risulta immediato pensare che abbia un legame diretto con la prevenzione degli attacchi, e con l’applicazione di policy di sicurezza a prova di BEC, di whaling, di APT e chi più ne ha più ne metta, in realtà calza a pennello anche sul dipartimento Marketing & Comunicazione.

Data breach e senso di insicurezza

È vero, tutti vogliamo sentirci al sicuro, ma non è forse vero che lo vogliamo ancora di più quando sappiamo che il pericolo che ci sembrava solo ipotetico si è trasformato in realtà? Fin quando le minacce legate al mondo cyber security restano una serie di sigle o di fatti distanti anni luce dalla mia azienda, non posso toccare con mano il senso di insicurezza e di pericolo che viene con la certezza che questa sia stata violata. Come si sentiranno gli stakeholder di un’azienda quando questa – in ottemperanza pedissequa del GDPR – darà notifica del breach subito? Vulnerabili, allo scoperto, in pericolo.

Dipendenti, fornitori, committenti…tutti gli attori coinvolti nella vita quotidiana dell’azienda verranno travolti da un’ondata di insicurezza che li porterà a chiedersi se potranno mai fidarsi di quest’ultima. Per questo è fondamentale che il team IT dell’azienda in questione, formato presumibilmente da un dipartimento interno e da una o più figure esterne di supporto, si soffermi anche a pensare anche a come l’eventuale breach verrà comunicato.

Chi ascolterà la notizia del breach vorrà sentirsi capito nei suoi timori e vorrà capire a sua volta come doversi comportare. C’è un obiettivo comune a cui tutte le aziende dovrebbero aspirare, ed è quello di non diventare una slide da seminario. Negli ultimi 3 anni circa, nel nostro paese di sono verificate situazioni che hanno fatto il giro dei convention center di mezza Italia. Aziende del settore privato, del mondo sportivo o bancario sono state prese ad esempio da parte di chiunque volesse dire alla propria audience cosa non fare.

I 5 consigli per la comunicazione in caso di data breach

È questo che vogliamo per le nostre aziende dopo anni di duro lavoro e di sacrifici? Che la tua azienda sia una start-up o una veterana nel panorama imprenditoriale, poco conta. Se anche tu non vuoi diventare una slide, ecco 5 semplici consigli:

1. Pianifica strategicamente. Prima che qualsiasi evento si verifichi mettiti alla prova con un comunicato stampa. A mente fredda e senza l’ansia da cyber attacco, prova ad immaginare cosa vorresti comunicare al mondo qualora subissi un breach. Scrivi un breve testo comprensibile ma esaustivo in cui rassicuri i tuoi stakeholder e con il quale potrai agire tempestivamente. Scrivere un documento del genere quando in azienda si scatena l’inferno non è cosa banale. Meglio avere uno statement pronto da pubblicare sul tuo sito e da girare alla stampa locale: in questo modo potrai avere il controllo di ciò che verrà detto dai media rispetto all’accaduto.
2. Educa il tuo staff. Spesso la principale fonte di notizie fuorvianti sono gli amici degli amici dei tuoi dipendenti. Cogli l’occasione una volta l’anno, per fare un breve corso sulla gestione dei data breach. Così facendo non solo rinfrescherai a tutti la memoria rispetto ai pericoli quotidiani, ma potrai anche comunicare direttive specifiche da seguire. È opportuno che tutti i tuoi collaboratori seguano la medesima linea comunicativa, onde evitare che trapelino notizie che potrebbero spaventare i tuoi clienti.
3. Diventa il paladino della sicurezza. Il peggio è accaduto e hai subito un danno a seguito di errore umano. Non ti resta che ammetterlo: può accadere ai migliori e tu potresti trarne grande vantaggio in termini di pubblicità. Ad esempio: una truffa BEC ha tratto in inganno il tuo CFO e un bonifico ingente è partito dalla tua azienda verso un Iban “malevolo”. Assicura ai tuoi clienti, ai tuoi fornitori e ai tuoi dipendenti che, a fronte di uno spiacevole episodio, tutte le misure necessarie ad intensificare la sicurezza sono state messe in atto. Diventa portavoce delle aziende come la tua che ogni giorno si impegnano a mantenere alta la guardia ma si scontrano con minacce subdole e mirate.
4. Loda il tuo dipartimento IT, ma non scendere nel dettaglio. Sei armato delle migliori intenzioni, ma l’IT non è la tua materia? Lascia perdere i dettagli quando tesserai le lodi del tuo dipartimento IT nelle ore successive alla notifica del breach subito. Non c’è alcun bisogno di dare le specifiche sui tuoi investimenti di remediation o su quanto si è deciso di stanziare per la sicurezza IT nel prossimo piano quinquennale. Lascia i tecnicismi agli addetti ai lavori e concentrati su ciò che sai fare meglio, gestire il tuo business. Il tuo scopo è assicurare la continuità operativa della tua azienda e placare gli animi di chi potrebbe aver subito con te l’impatto dell’evento in questione.
5. Mantieni il controllo. Nelle situazioni di emergenza, il controllo della comunicazione fa la differenza. Definisci all’interno delle tue procedure chi dovrà farsi carico della comunicazione aziendale: presidia i social media, il centralino e la posta elettronica generica. Fa capire ai tuoi stakeholder che, per quanto ingente, il danno subito non ha scalfito la tua operatività. Ad oggi la comunicazione segue molteplici canali parallelamente e tu devi fare in modo di presidiarli tutti, tenendo fede alla strategia definita a priori.

Questi 5 semplici consigli possono davvero aiutarti nel caso in cui ti trovi ad affrontare una notizia pubblica, ma di certo non escludono la necessità di dotare la tua azienda di un sistema di continuità operativa.

Non essere produttivi è un qualcosa che nessuna azienda profit al mondo può permettersi, ed è proprio questo l’obiettivo degli hacker: colpirti dove fa più male.

Con una buona politica preventiva di Business Continuity di sicuro togli loro un’arma potente e ti tuteli dal pericolo dell’inoperatività. E anche questo può diventare un ottimo spunto per fare una buona pubblicità alla tua azienda.