A. Definire le informazioni da condividere
Nel contesto di un BCP è essenziale definire che tipo di informazioni saranno comunicate e a chi, ma anche le modalità di diffusione. Anche la questione della tempistica della comunicazione è molto importante e può essere determinata a monte, come parte della definizione del BCP. Infine, è essenziale scegliere la persona a cui sarà affidata la comunicazione.
B. Comunicazione interna
In qualsiasi organizzazione, durante una crisi i collaboratori si chiedono che cosa stia succedendo, quali conseguenze avrà la crisi su di loro, come devono comportarsi, ecc. È quindi fondamentale dare loro informazioni utili e precise.
In alcuni casi la natura dell’attività può comportare ripercussioni particolari in caso di crisi. Per queste infrastrutture critiche, il responsabile del servizio giuridico («head of legal») deve essere informato tempestivamente sull’impatto della crisi.
Un altro settore strategico in termini di comunicazione è la reception. Le persone che vi lavorano sono spesso il principale punto di contatto per le persone e le entità esterne. Se ci sono chiamate esterne in merito alla crisi in corso, è fondamentale comunicare a queste persone che cosa devono dire. In caso contrario, una persona alla reception potrebbe essere colta alla sprovvista, farsi prendere dal panico o addirittura inventare cose o fornire informazioni da non divulgare.
C. Comunicazione esterna
I media e i social media sono sempre più reattivi. In situazione di crisi, a seconda dell’impresa interessata, possono trapelare contenuti (articoli, tweet, ecc.) sulla crisi in corso potenzialmente dannosi. È quindi importante riprendere il controllo, almeno per comunicare adeguatamente che l’organizzazione e i responsabili sono consapevoli della situazione e stanno adottando tutte le misure necessarie, o anche semplicemente per spiegare che non ci saranno commenti.
In caso di problemi che potrebbero limitare i canali di comunicazione tradizionali (telefono, e-mail), è opportuno prevederne di alternativi. Alcune imprese utilizzano sistemi di messaggistica popolari (WhatsApp, Telegram, Signal, ecc.) per le comunicazioni informali quotidiane, sia interne che con i partner esterni. In caso di crisi, è meglio optare per soluzioni su misura e sicure per garantire la riservatezza delle informazioni scambiate.
D. Il momento giusto per rivolgersi ai media
Una delle differenze tra la gestione di crisi classiche e la gestione di crisi informatiche è la velocità con cui si deve comunicare ai media. Si tratta di una questione delicata, anche con una buona strategia. Quando un’organizzazione deve scrivere e rivolgersi ai media con un comunicato stampa ufficiale?
Quando un’organizzazione deve scrivere e rivolgersi ai media con un comunicato stampa ufficiale?
Ogni situazione di crisi è diversa, quindi la cosa migliore è iniziare a scrivere il prima possibile. Una delle priorità è capire rapidamente di che tipo di ciberincidente si tratta. Un attacco «DDoS», che rende indisponibili i siti Internet, non necessita dello stesso piano di comunicazione di una fuga di dati massiccia di cittadini o clienti.
Una delle priorità è capire rapidamente di che tipo di ciberincidente si tratta. Un attacco «DDoS», che rende indisponibili i siti Internet, non necessita dello stesso piano di comunicazione di una fuga di dati massiccia di cittadini o clienti. La scelta del momento della diffusione deve essere decisa d’intesa con il team tecnico di risposta ai ciberincidenti e approvata dallo stato maggiore di gestione delle cibercrisi. Non esiste una risposta standard, il momento ideale non può essere deciso, ma si prepara. È necessario osservare ciò che accade internamente, aver avviato il maggior numero possibile di misure e correlarle con i segnali provenienti dall’esterno per annunciare la situazione di cibercrisi. La priorità rimane quella di fare in modo che sia l’organizzazione sotto attacco a informare le potenziali vittime, come ad esempio clienti, partner, fornitori di servizi (non trascurare i danni collaterali).
Schema di supporto decisionale per la linea d’azione:
Estratto da «Les fondamentaux de la gestion de crise cyber», (cap. 8 «La communication de crise»).
