Al di là dei danni economici, una falla alla sicurezza è un’indicatore di una debolezza intrinseca del business. La ricaduta sull’immagine aziendale è notevole. Come rendere pubblica la cosa? Qual è l’approccio ideale per ufficializzare una perdita dei dati o un disservizio?
Un’attacco alla sicurezza aziendale e una violazione dei dati, in sintesi, sono la conseguenza di un’incapacità di prevedere l’attacco e di non aver saputo gestire l’intrusione al perimetro aziendale. Le imprese devono dare una giustificazione e trovare il modo di ufficializzare la cosa rilasciando una dichiarazione pubblica. Esistono diversi approcci in cui a cambiare sono i modi e i tempi.
Meglio la trasparenza o la riservatezza?
Prendiamo il caso di Neiman Marcus. Il brand americano è una delle aziende al top della Grande Distribuzione Organizzata di lusso.
Qualche tempo fa i rumor hanno iniziato a parlare di un’attacco alla sicurezza dei dati aziendali a cui ha fatto seguito un vociferare crescente sui media e sui blog. Karen Katz, in qualità di amministratore delegato, ha deciso di aspettare comunque diversi giorni prima di rilasciare una dichiarazione ufficiale in cui confermava che una violazione della sicurezza aveva compromesso una parte dei dati aziendali.
Diverso invece l’approccio del Gruppo Target. Il CEO del più grande discount americano dopo Walmart ha scelto la strada più diretta ed esplicita. Subito dopo aver subito un attacco alla sicurezza della sua azienda, ha condiviso immediatamente il fatto con i clienti coinvolti nel furto dei dati, preferendo la strada della trasparenza.
Tra le due aziende, qual è stato l’approccio migliore? In generale, quando si subisce una violazione dei sistemi aziendali, quali consigli dovrebbe dare il CSO e al CEO per aiutarlo a gestire l’ufficialità della cosa?
Non giudicare mai il silenzio stampa a priori
L’opinione pubblica giudica con molta facilità la condotta di un’azienda e, in particolare, quella del suo portavoce aziendale. Quando c’è di mezzo un furto di dati o un grave disservizio le cose sono molto più complicate e la trasparenza non è sempre possibile. Ci sono, infatti, molti fattori concomitanti da tenere in considerazione per valutare le tempistiche e quindi gli approcci adottati dalle due aziende prese ad esempio.
In linea teorica una società può e spesso è tenuta a segnalare una violazione dei dati nei confronti dei suoi interlocutori. La questione fondamentale è che quando si parla di sicurezza le circostanze per cui si sono verificate e attuate le minacce sono ogni volta diverse, specifiche, particolari.
Confrontando nello specifico i casi di Neiman Marcus e di Target, prima di giudicare stile e modalità di come i due brand abbiano agito nelle loro dichiarazioni pubbliche bisogna conoscere nel dettaglio gli antefatti e capire bene il contesto.
Prendiamo Neiman Marcus: l’amministratore delegato può aver apettato perché non ancora in possesso di tutte le informazioni necessarie a fornire dichiarazioni fondate. La precisione di quanto va riportato pubblicamente, infatti, è altrettanto importante quanto la tempestività della relazione con il pubblico.
Può esserci voluto del tempo prima di capire quale sia stato il punto di accesso da cui si è generata la falla nell sistema di sicurezza, così come è stato difficile conteggiare il numero di dati rubati o, ancora, fare il computo del numero di dispositivi compromessi.
Si tratta di informazioni importanti per circoscrivere il fenomeno e offrire una gestione trasparente della comunicazione: nella sfortuna di un evento negativo, offre un’immagine positiva rispetto al controllo aziendale.
Un’altra spiegazione può essere che la direzione può aver dovuto attendere i risultati delle indagini prima di poter offrire dichiarazioni ufficiali. Le forze dell’ordine, infatti, fino a quando non hanno raccolto più informazioni sui colpevoli possono richiedere un silenzio stampa che porta a una dilazione della notifica.
Pensare alla sicurezza, con un piano di risposta in caso di violazione
Allo stato attuale oggi le probabilità che si possano verificare violazioni alla sicurezza e ai dati aziendali è molto alto. Un’organizzazione che si illude di avere sistemi impenetrabili e dati assolutamente protetti ha una cultura molto ingenua della sicurezza. Indipendentemente dai livelli di protezione adottati, le minacce sono in continua evoluzione e i rischi sono sempre in agguato. Le imprese e le organizzazioni più mature hanno accettato questa realtà dei fatti, sviluppando piani di risposta agli incidenti, con una formalizzazione delle dichiarazioni ufficiali da rilasciare quando si verifica una violazione dei dati aziendali.
È importante avere sempre un piano di risposta che deve essere ben congegnato, per consentire a un’organizzazione di procedere speditamente attraverso quella serie di azioni necessarie a gestire gli eventuali incidenti che compromettono la sicurezza aziendale.
Il piano di risposta agli incidenti funge da guida, aiutando a coordinare ogni fase di risposta rispetto a una violazione dei dati: la scoperta, l’indagine, la mitigazione del rischio, la comunicazione e il proseguio delle attività di controllo e di gestione.
Come parte di un processo, il piano presuppone anche un team di persone preposte a gestire le attività di risposta. In questo team ognuno gioca un ruolo preciso e definito: c’è chi è addetto al controllo, chi alle relazioni pubbliche, chi si occupa della parte legale, economica finanziaria, chi invece deve coordinare le squadre tecniche.
Ogni membro del team collabora per circoscrivere l’attacco e fotografare la situazione nel dettaglio, in modo da permettere l’organizzazione di rispondere più rapidamente e più accuratamente possibile, fornendo una spiegazione esatta e precisa rispetto alla violazione dei dati subita.
Non è sempre possibile fornire dichiarazioni tempestive
Ci sono troppi fattori concomitanti che entrano in gioco e che possono rallentare i tempi di risposta in cui un’organizzazione comunica pubblicamente di aver subito una violazione dei dati.
Le organizzazioni più preparate nel caso di una violazione dei dati aziendali utilizzano un piano di risposta agli incidenti come strategia che li aiuta a gestire il processo mentre sono in corso le indagini. A questo punto sarebbe importante fare un confronto sui piani di risposta, per imparare meglio le best practice di un caso rispetto a un altro.
La sicurezza, infatti, è un work in progress e, come tale, consente alle aziende di capire e di migliorare continuamente. Definire un piano di risposta rientra in questo percorso di miglioramento.
