Argomenti
Servizi
Casa > Dati-GAU Dati c...
IT
IT DE FR EN

Dati GAU Furto di dati - ecco come la comunicazione (di crisi) ha successo

L'incubo di ogni azienda: un attacco informatico ha portato a un furto di dati. Per non parlare dei danni finanziari e materiali, come si può sopravvivere a questo scenario peggiore in termini di comunicazione senza perdere clienti o azionisti? Sophos e il Professore Associato Jason R.C. Nurse dell'Università di Kent hanno sviluppato risposte chiave e una guida a questa domanda essenziale in una discussione.

Editoriale - 11 febbraio 2021
furto di dati o altri incidenti di sicurezza informatica: Anche la comunicazione con loro è una questione di correttezza. (Immagine: Pixabay.com)

Quando si verifica un disastro di sicurezza informatica e i criminali informatici sono riusciti a rubare grandi quantità di dati aziendali, le questioni forensi, come l'individuazione dei punti di ingresso e il modo in cui gli hacker hanno proceduto nella rete, sono ovviamente molto importanti. Quando si tratta di reagire al furto di dati, tuttavia, non bisogna dimenticare un punto importante: Cosa dico al pubblico e come lo comunico? Un attacco informatico è sempre una sorpresa sgradita. Tuttavia, con una preparazione adeguata e una risposta ben ponderata, il rapporto di fiducia con i clienti e il pubblico può essere mantenuto in molti casi. Nell'ambito del Cybersecurity Summit, Sophos ha parlato con il professore associato e specialista di cybersecurity Jason R.C. Nurse* della strategia di comunicazione in caso di furto di dati. Le sue raccomandazioni sono riassunte nelle sezioni seguenti.

Avere nel cassetto una strategia di comunicazione per le emergenze

Il lavoro che precede un furto di dati è fondamentale, ma molte organizzazioni trascurano questa fase di preparazione, almeno in termini di strategia di comunicazione. Per rispondere efficacemente a una violazione dei dati, l'azienda deve stabilire in anticipo chi sarà il portavoce, come raggiungere al meglio i clienti e quali regole generali di comunicazione si applicano.

L'elenco di coloro che parlano in pubblico dovrebbe essere il più ridotto possibile - idealmente un massimo di due persone "di rilievo", perché i giornalisti vogliono un esperto o un leader. In questo modo si garantisce la coerenza del messaggio e si elimina la confusione. È utile anticipare le possibili domande della stampa, degli azionisti o dei clienti e avere pronte delle risposte compatte. Questo piano generale deve essere preparato per vari incidenti di sicurezza e mantenuto aggiornato con revisioni regolari. Inoltre, questi test regolari assicurano che ogni dipendente conosca le proprie responsabilità e sappia con chi può parlare di cosa.

Furto di dati: rivelare o tenere nascosto?

L'onestà rimane la migliore strategia negli incidenti aziendali, a meno che una norma legale non imponga diversamente. Se l'azienda decide di mantenere la segretezza, c'è sempre il rischio che l'incidente venga alla luce in un secondo momento e che il danno d'immagine sia ancora maggiore. Inoltre, i responsabili non devono sottovalutare il fatto che i dati rubati possono finire sui mercati criminali online e quindi diventare pubblici.

Assumersi la responsabilità

Quando si verifica un cyberattacco, per le persone colpite sorge rapidamente la tentazione di dipingersi come vittime. E se questo è vero in senso tecnico, il pubblico spesso vede negativamente questo comportamento. Chiunque, come organizzazione o azienda, abbia in custodia o lavori con dati personali o altri dati importanti è anche responsabile della loro protezione. Pertanto, le aziende devono comprendere la dimensione di un furto di dati dal punto di vista del cliente, assumersi la responsabilità e comunicare in modo rapido, chiaro e concreto come reagire al furto di dati.

Guida rapida alla comunicazione di crisi - non solo in caso di furto di dati

  • Rispondere rapidamente. Spesso c'è solo un'occasione per fare una prima impressione, e dovrebbe essere di fiducia. Una buona preparazione facilita una risposta immediata, misurata e precisa.
  • Trasmettere un messaggio chiaro. Nessun gergo quando ci si rivolge a clienti, azionisti o al pubblico in generale. Una comunicazione diretta ed enfatica è molto più efficace.
  • Utilizzare un'unica fonte. La comunicazione attraverso diverse aree di informazione o canali di social media aziendali può diluire rapidamente quello che dovrebbe essere un messaggio chiaro. Una dichiarazione unica e aggiornata direttamente dalla direzione dell'azienda attraverso un canale aziendale aiuta a trasmettere il messaggio in modo chiaro.
  • Assumersi la responsabilità. Gli azionisti, i clienti e i media premiano le aziende che non si fanno scrupoli.
  • Tenete informati tutti gli interessati. Predisporre un piano d'azione per essere in grado di informare con competenza gli azionisti e i clienti anche dopo la prima "going public". In questo modo, i buoni rapporti che spesso sono stati costruiti nel corso di molti anni rimarranno intatti.

*Jason R.C. Nurse è professore associato di Cybersecurity presso l'Università del Kent e Visiting Scholar presso l'Università di Oxford. La sua ricerca si concentra sugli aspetti socio-tecnici della sicurezza informatica, della privacy e della fiducia. Ha incorporato i suoi anni di ricerca in un quadro di riferimento basato sull'evidenza che elabora il modo migliore per affrontare i potenziali danni a livello relazionale associati a un cyberattacco. La conversazione con Jason R.C. Nurse è disponibile nel video al seguente link: https://nakedsecurity.sophos.com/2021/02/03/what-should-you-say-if-you-have-a-data-breach-catch-up-with-jason-nurse-at-sophos-evolve/ 

 

(Visitato 95 volte, 1 visita oggi)

Altri articoli sull'argomento

Pilatus ottimizza la gestione dei dispositivi mobili con Nomasis

Nasce il premio "Best of Swiss Software

Tendenze per il paesaggio digitale nel 2024: Roger Semprini di Equinix azzarda una prospettiva