| Undefined
Un piano di comunicazione di risposta agli incidenti è una componente cruciale del più ampio piano di risposta agli incidenti di un’organizzazione. Alla stregua degli altri elementi costituenti le organizzazioni infatti dovrebbero sviluppare anche una adeguata strategia di comunicazione allo scopo di garantire un attento coordinamento tra il SOC (Security Operations Center), il team di risposta e una varietà di parti interessate interne ed esterne alla organizzazione durante le fasi concitate di un evento di incidente di sicurezza informatica che può causare anche un importante fermo delle attività.
La fase comunicativa infatti è più critica di quanto si possa pensare. Ci sono da considerare diversi tipi di canali di comunicazione e interlocutori con i quali interfacciarsi.
Pertanto la comunicazione in caso di crisi richiede una risposta coordinata unica e coerente con tutti gli attori coinvolti attraverso dei canali di comunicazione e modalità preventivamente scelti e concordati.
Ecco i punti principali cui prestare attenzione affinché un piano di comunicazione dell’incidente sia il più fruttuoso possibile.
La comunicazione nel ciclo di vita di un incidente informatico
Quando si verifica un incidente, disporre di una piattaforma di comunicazione consolidata per centralizzare e filtrare avvisi attraverso degli strumenti di monitoraggio e registrazione può garantire, durante l’evento, una comunicazione efficace e diretta.
Tre sarebbero i momenti in cui una corretta comunicazione potrebbe davvero fare la differenza: La comunicazione di primo contatto, la comunicazione degli aggiornamenti, la comunicazione risolutiva.
- Il primo contatto. L’aggiornamento iniziale è sicuramente il più importante. È quindi fondamentale avere precedentemente studiato e impostato un modus operandi allo scopo di fornire la giusta impostazione della risposta, principalmente:
- Riconoscendo fin da subito che c’è stato un problema anche se non si conoscono ancora bene i dettagli;
- presentando una stima dell’entità dell’impatto noto ed eventuale, promettendo ulteriori aggiornamenti, alleviando quando possibile ogni preoccupazione.
- Aggiornamenti regolari durante l’incidente. Gli aggiornamenti a cadenza regolare sono fondamentali. La comunicazione su cosa sta accadendo con tutte le parti interessate, usando dei canali di comunicazione predeterminati, deve essere un imperativo categorico.
- Risoluzione e lezione appresa. Lo schema da seguire in questa ultima fase della comunicazione dovrebbe formulare le seguenti argomentazioni con linguaggio semplice, chiaro e diretto:
- Le scuse e il riconoscimento del problema, cercando di entrare in empatia con le parti colpite;
- spiegazione di cosa è successo e del perché;
- spiegazione su cosa è stato fatto per risolvere l’incidente e per prevenire il ripetersi dell’evento in futuro (lezione appresa).
Attivazione del team di risposta agli incidenti, la tempistica è essenziale
Un Security Operations Center (SOC) comprende un team di esperti incaricato di rilevare, indagare, rispondere e prevenire le minacce informatiche in un’organizzazione (24 ore su 24, 7 giorni su 7).
Il SOC lavorando a stretto contatto con il team di risposta agli incidenti per garantire che eventuali problemi vengano risolti rapidamente al momento della scoperta, determinerà tramite un processo di valutazione l’attivazione o meno dell’intero team di risposta agli incidenti.
Le organizzazioni dovrebbero prendere in considerazione l’adozione di un meccanismo dedicato per gestire le pianificazioni delle chiamate, attivando avvisi attraverso più canali di comunicazione, ottimizzando in tal modo la velocità di convocazione eventuale del team di risposta. La tempistica in questi casi è essenziale.
Individuazione della figura di riferimento per la comunicazione esterna
Nell’ottica di creare un ruolo di comunicazione per fornire una visione coerente e coordinata dell’incidente a tutte le parti interessate esterne, dovrebbe essere individuata una figura intermediaria capace di filtrare, tradurre ed esporre tutte le informazioni tecniche che emergono dal team di risposta.
Scelta dei canali di comunicazione
Diversi i canali di comunicazione da adottare nei casi di incidenti, che in generale possono essere utilizzati anche congiuntamente per sfruttarne i singoli punti di forza:
- Una pagina di stato (in costante aggiornamento) potrebbe risultare importante allo scopo di fornire chiarezza sull’incidente in corso. Dovrebbe essere facilmente rintracciabile sulla home page o sulla sezione di supporto del proprio portale anche tramite un banner dedicato.
- Posta elettronica, chat, social media e sms potrebbero essere tutti strumenti utili per dare aggiornamenti periodici e comunicare in modo veloce e diretto secondo una strategia precedentemente concordata tra le parti.
Comunicare con gli interlocutori in modo appropriato
È importante pianificare prima che si verifichi un incidente chi chiamare e come raggiungerlo nel modo migliore, curando i messaggi in modo appropriato. In generale gli interlocutori da raggiungere con una comunicazione adeguata andrebbero suddivisi per tipologia:
- il primo interlocutore ad essere interpellato immediatamente dopo l’impatto è il team di risposta agli incidenti;
- segue il team di supporto preposto a rispondere e fornire aggiornamenti durante l’incidente, al quale occorre fornire tutte le informazioni corrette da trasmettere agli utenti finali;
- il team di risposta deve avere anche un canale di comunicazione dedicato con la dirigenza/amministrazione per informarla sull’evento, sul potenziale impatto e sulla stima dei tempi per la risoluzione dell’incidente;
- anche i dipendenti devono essere tenuti informati in tempo reale sull’andamento della situazione. Per questo motivo è importante una loro formazione preventiva (su ruoli, funzioni e strategia) anche per ridurre le richieste di supporto durante l’incidente.
- qualora l’evento coinvolga anche interlocutori esterni (clienti e partner) è necessario inviare una comunicazione aggiornata (ad intervalli regolari) e chiara sul problema, sui tempi e sull’evoluzione.
Sviluppare modelli per una comunicazione di risposta ottimale
I modelli di comunicazione sono fondamentali per un piano di comunicazione di risposta agli incidenti ottimale, rappresentando di fatto uno degli strumenti più importanti da tenere in conto in fase di pianificazione della strategia di comunicazione. La frequenza, la qualità e il contenuto delle comunicazioni infatti possono avere un impatto significativo.
Azioni da attuare per una corretta strategia di comunicazione
Poiché l’impatto di un incidente informatico può incidere significativamente sulla reputation, questo impatto potrebbe essere contenuto tramite una corretta strategia di comunicazione durante la gestione dell’evento di incidente, salvaguardando nel contempo anche la fiducia degli stakeholder coinvolti.
È bene pertanto prevedere alcune possibili azioni da attuare per una corretta strategia di comunicazione in caso di crisi conseguente sia ad un incidente di sicurezza delle informazioni che alla violazione della riservatezza di dati personali, sviluppando un processo di comunicazione che risponda alle esigenze dello standard ISO/IEC 27001 e del nuovo regolamento sulla protezione dei dati personali GDPR (https://www.garanteprivacy.it/il-testo-del-regolamento);
La comunicazione in caso di data breach
Le azioni da mettere in campo nel caso di data breach (violazione della riservatezza di dati personali https://www.garanteprivacy.it/data-breach) devono certamente seguire le indicazioni previste dal GDPR. Per non incorrere nelle sanzioni, è infatti assolutamente necessario predisporre un processo aziendale che garantisca, al bisogno, l’effettuazione di determinate comunicazioni obbligatorie:
- “Notifica di una violazione dei dati personali all’autorità di controllo”. L’articolo 33 del GDPR, chiede esplicitamente al titolare del trattamento, ovvero la persona fisica o l’organismo che determina le finalità e i mezzi del trattamento di dati personali, di effettuare una notifica all’autorità di controllo entro 72 ore dal momento in cui viene a conoscenza di una violazione dei dati personali. Nella fattispecie tale notifica all’autorità di controllo deve:
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
- descrivere le probabili conseguenze della violazione dei dati personali;
- descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e per attenuarne i possibili effetti negativi.
- “Comunicazione di una violazione dei dati personali all’interessato”. L’articolo 34 del GDPR richiede al titolare del trattamento, qualora si verificasse una violazione dei dati personali con un rischio elevato per i diritti e le libertà delle persone fisiche, di effettuare una comunicazione a tutti gli interessati. Tale comunicazione dovrà descrivere chiaramente la natura della violazione dei dati personali e contenere le informazioni del titolare del trattamento e le misure adottate.
La comunicazione in caso di incidente di sicurezza delle informazioni
Anche un incidente di sicurezza delle informazioni può causare la divulgazione di informazioni aziendali rilevanti e determinare una situazione di crisi. Basti pensare, ad esempio, come la violazione della riservatezza in un contratto con un partner strategico, possa mettere a rischio la segretezza di sistemi e accordi. Pertanto anche per la norma ISO/IEC 27001(standard internazionale della sicurezza delle informazioni) il processo di “crisis communication” rappresenta un requisito fondamentale da implementare correttamente, individuando principalmente:
- cosa deve essere comunicato;
- quando deve avvenire la comunicazione;
- verso chi rivolgere la comunicazione;
- chi deve effettuare la comunicazione;
- i processi attraverso i quali devono essere effettuate le comunicazioni.
Poiché sia gli attacchi ransomware a doppia estorsione con esfiltrazione di dati (e successiva pubblicazione degli stessi) che semplici data breach sono purtroppo diventati scenari sempre più ricorrenti, occorre che tutte le organizzazioni prendano coscienza che provvedere ad una comunicazione iniziale e a successive integrazioni durante la fase di investigazione di tali incidenti è un adempimento di uno specifico obbligo normativo e non una semplice buona pratica.
Riflessioni finali
Per una risposta forte agli incidenti di sicurezza informatica, una comunicazione rapida ed efficace è senza alcun dubbio una componente imprescindibile. Solidi piani di comunicazione degli incidenti oltre a consentire un coordinamento con le parti interessate sia interne che esterne, forniscono dei meccanismi rapidi di notifica e nel contempo degli importanti feedback sulla prestazione del servizio e della divulgazione stessa delle informazioni. Tutto ciò descritto oltre che migliorare la capacità di comunicazione dell’organizzazione aiuta a limitare talvolta anche il danno reputazionale che un incidente di sicurezza inevitabilmente comporta.