come-comunicare-attacco-informatico-cyber

Come comunicare in caso di attacco informatico

Il 17 maggio scorso, all’interno del Corso di Alta Formazione sulla Cyber Security organizzato dal Centro studi STASA in collaborazione con Deep Blue, ho tenuto una lezione sulla gestione della comunicazione in caso di attacco informatico

Il tema è sempre più dirimente, sia per la repentina crescita dei gravi attacchi cyber (+10% nel 2021 su 2020) ulteriormente alimentati dalla guerra in Ucraina, sia per la diffusa disattenzione da parte di aziende e Pubblica Amministrazione nei confronti delle strategie di crisis communication, spesso del tutto assenti.

Eppure le statistiche parlano chiaro: il 69% dei top manager intervistati ha vissuto almeno una crisi aziendale tra il 2014 e il 2019 ma solo il 45% ammette di avere un piano di comunicazione in tempo di crisi (Fonte: PWC).

Alla luce di tali statistiche, quello che ho cercato di trasmettere ai partecipanti al corso, composto da personale di livello intermedio e apicale di organizzazioni complesse nei settori dei trasporti e delle infrastrutture critiche (significativa la presenza dell’ambito aeronautico e ferroviario), è che avere un piano di comunicazione in tempo di emergenza, come parte di un più ampio piano di gestione dell’emergenza, non è più una scelta ma un dovere e una necessità. 

Pianificare la comunicazione in tempo di pace

Per la natura imprevedibile e altamente dinamica, gli scenari di crisi richiedono una preparazione preventiva e pianificata nei minimi dettagli. Durante un’emergenza le organizzazioni devono essere in grado di attivare processi di comunicazione, interfacce e relazioni con gli stakeholder interni ed esterni, radicalmente diversi rispetto al modo consueto di operare. Per questo la parola chiave è pianificazione

La pianificazione in tempo di pace, prima cioè che esploda un’emergenza, prevede la definizione dei possibili scenari di crisi. A che tipo di attacco informatico è più esposta la mia organizzazione? Quali potrebbero essere gli effetti? Possiedo dati sensibili di partner e/o clienti? Queste sono alcune delle domande da porsi per sviluppare, sulla base degli scenari individuati, il piano di comunicazione in tempo di crisi, che dovrà prevedere:

  • i destinatari dei nostri messaggi (personale interno, stakeholders, partner, clienti, media, autorità competenti, etc.); 
  • i canali di comunicazione più appropriati per comunicare con ciascuno dei destinatari;
  • i messaggi chiave e pronti per l’uso, per ogni destinatario;
  • il “Chi fa Cosa”, ovvero l’attribuzione di ruoli e responsabilità in un tempo, quello dell’emergenza, in cui l’organizzazione dovrà operare in modo radicalmente diverso dal solito.

Comunicare durante un attacco informatico

Quando purtroppo arriva l’evento nefasto e la nostra organizzazione è vittima di un attacco informatico, non ci resta che mettere in atto il piano di crisis communication, seguendo alcune regole fondamentali.

La prima regola è: rivolgiti prima ai tuoi colleghi e dai loro indicazioni chiare su cosa fare e cosa non fare. Soprattutto nelle grandi organizzazioni, è un’illusione pensare che i dipendenti tratteranno le informazioni in modo confidenziale e bisogna evitare che trapelino rapidamente all’esterno e in modo incontrollato.

La seconda regola è: comunica con tempismo e prima che lo facciano altri. Deve essere l’organizzazione a dare la cattiva notizia e deve farlo prima che la stampa arrivi e costruisca la propria storia. Comunicare in modo proattivo aiuta a mantenere il controllo della comunicazione.

piano_crisis_comunication_cyber_security

Ma come e cosa comunicare nei 30 minuti successivi l’attacco, se ancora non si hanno sufficienti informazioni su quanto stia avvenendo? Pochi e semplici messaggi:

  • WE KNOW: sappiamo cosa è successo.
  • WE DO: stiamo lavorando sui seguenti problemi e a una soluzione.
  • WE CARE: stiamo affrontando la situazione seriamente.
  • WE ARE SORRY: ci scusiamo per l’incidente.
  • WE’LL BE BACK: vi daremo maggiori info appena possibile.

 

A questo punto abbiamo noi il controllo mediatico della situazione. Ci abbiamo messo la faccia, abbiamo dato notizia dell’accaduto e comunicato che stiamo facendo tutto il possibile per risolvere il problema. Ora possiamo concentrarci sul prossimo passaggio: raccogliere tutte le informazioni necessarie a comprendere la reale portata dell’attacco e a definire i messaggi successivi.

Cosa è successo? Come è successo? Chi era responsabile? Quali sono le implicazioni per dipendenti, clienti e partner? Cosa stiamo facendo per riparare il danno? Quali soluzioni abbiamo? Cosa stiamo facendo per evitare che ciò accada in futuro? Queste sono le domande che determineranno la nostra comunicazione d’ora in avanti e che ci permetteranno di uscire dalla crisi nel migliore dei modi. 

Comunicazione dopo la crisi cyber

Superata l’emergenza, torna il sereno. È questo il momento per ricostruire la fiducia dentro e fuori l’organizzazione, analizzare a mente fredda l’accaduto, imparare dagli errori e mettere in atto le corrette strategie per evitare che il problema possa ripetersi. Anche in questo caso è bene seguire poche ma importanti indicazioni:

  1. Mai rimuovere l’accaduto. Creare memoria storica, anche con materiale di analisi e racconto di quanto successo.
  2. Condividere le lessons learned dentro e fuori l’organizzazione.
  3. Attivare e promuovere percorsi di formazione interni, ad esempio per modificare atteggiamenti e abitudini che hanno favorito la crisi.
  4. Raccontare le azioni intraprese per evitare che il problema riaccada.
  5. Analizzare i piani di crisis management e crisis communication e aggiornarli se necessario.

Solo dopo aver fatto tutto questo, sarà anche possibile immaginare a iniziative di marketing per clienti e partner, come risarcimenti, promozioni, regali, etc. 

Il ruolo del comunicatore del rischio

Inutile girarci intorno: la maggior parte delle organizzazioni non hanno questo tipo di competenze al proprio interno. Una soluzione allora potrebbe essere quella di rivolgersi a un consulente esterno esperto in comunicazione del rischio.

In cosa può aiutarvi un comunicatore del rischio?

  1. Analisi del rischio e definizione dei possibili scenari di crisi.
  2. Crisis Communication Plan: progettazione e stesura.
  3. Creazione di strumenti pronti per l’uso per comunicare bene con tempestività: mappatura attori coinvolti, elenco contatti e canali; scelta dei messaggi chiave nelle varie fasi dell’emergenza; bozze messaggi per i social network; template per comunicati stampa in tempo di crisi; creazione di una cartella stampa; manuali interni per una corretta comunicazione.
  4. Formazione specifica per dipartimenti e funzioni coinvolte.

Sei interessato a pianificare e portare nella tua organizzazione un piano di comunicazione dell’emergenza?   

CONTATTAMI e sarò felice di parlarne con te.

Autore

POSSIAMO AIUTARTI?

Desideri parlarci del tuo progetto o chiederci più informazioni riguardo ai nostri servizi e consulenze?