In caso di data breach, quella del silenzio non è mai una strategia corretta. Non lo è neanche improvvisare una comunicazione, dal momento che si devono seguire non solo gli obblighi previsti da talune norme – cui deve corrispondere una capacità organizzativa di aver predisposto misure adeguate a riguardo – ma anche le regole di comunicazione per la gestione della crisi.

Eppure, nonostante la cogenza degli obblighi e l’esperienza dei disastri del passato, molte organizzazioni si trovano impreparate a riguardo. L’effetto è quello di produrre comunicazioni tardive, incomplete, errate (categorie non mutualmente esclusive), o altrimenti di non produrne affatto.

Tutto questo comporta, di conseguenza, che se l’organizzazione non parla, lo farà qualcun altro. E così il pubblico apprenderà tale notizia dagli eventuali atti di rivendicazione o altrimenti dalla stampa, mentre l’autorità di controllo competente (che potrà essere Garante Privacy o ACN, ad esempio) valuterà non solo di contestare una violazione degli obblighi di gestione della sicurezza, ma anche quelli relativi agli adempimenti riguardanti notifiche e comunicazioni.

Con tutte le conseguenze del caso in sede sanzionatoria e reputazionale che si vanno ad aggiungere al danno già provocato come conseguenza immediata della violazione, soprattutto se è stata ad opera di un agente di minaccia esterno.

Gestire la comunicazione del data breach è così un’attività essenziale che deve essere correttamente integrata all’interno del processo di incident response e coordinata con le ulteriori azioni che sono intraprese a riguardo.

Nella disclosure vale sia il quando che il come

Fare disclosure correttamente è qualcosa che si pone oltre l’adempimento degli obblighi imposti dalla norma, dal momento che la violazione di sicurezza ha come effetto una perdita di fiducia da parte degli stakeholder nei confronti dell’organizzazione, del brand o dei suoi prodotti e servizi.

Conseguenze che possono essere aggravate dalla mancanza di trasparenza nella strategia di comunicazione successiva, tanto nei confronti delle autorità di controllo quanto nei confronti del pubblico.

L’aspetto delle tempistiche di comunicazione è particolarmente rilevante: sebbene la norma prescriva dei termini che decorrono dal momento della scoperta dell’evento, la capacità di rilevazione è una componente fondamentale della sicurezza.

Di conseguenza, una comunicazione tardiva o mancante è indiziaria di una postura di sicurezza inadeguata.

Per evitare ciò, cui le organizzazioni devono avere la capacità di svolgere un monitoraggio continuo dei sistemi informatici la cui attuazione richiede necessariamente una combinazione degli strumenti di monitoraggio e di alert con le misure organizzative, coinvolgendo sia il personale sia tutti i soggetti coinvolti nella supply chain.

L’aspetto di completezza e correttezza della comunicazione è altrettanto importante, motivo per cui la gestione della crisi successiva ad un incidente informatico è un’attività complessa che richiede il coinvolgimento di diverse professionalità.

Inoltre, deve adattarsi al contesto e reagire agli inevitabili imprevisti che si potrebbero presentare alla porta di uno scenario che per sua natura è connotato da profonde incertezze.

L’unica ineliminabile certezza è infatti che in caso di data breach il silenzio non paga. Anzi, presenta un conto particolarmente salato.