Gli attacchi informatici sono in crescita in tutto il mondo: nel primo semestre del 2023 sono stati registrati quasi 1.400 incidenti di questo tipo nel mondo. Tuttavia, se a livello globale la crescita di questo fenomeno sta rallentando (+11% tra il 2022 e il 2023, laddove tra il 2021 e il 2022 la crescita era stata del 21%), in Italia si registra una crescita del 40% anno su anno.
Inoltre, se si guarda all’ampio scenario dell’economia digitale, secondo un recente sondaggio la cybersecurity è in cima agli interessi/preoccupazioni degli italiani.
Se spesso l’attenzione, anche dei media, si concentra sulle buone pratiche individuali e aziendali – ad esempio mantenere aggiornati i propri dispositivi, implementare l’autenticazione a più fattori, eseguire regolarmente il backup dei file essenziali e utilizzare passphrase e password manager per mantenere al sicuro i dati – è interessante parlare anche di come essere preparati a livello di comunicazione interna ed esterna qualora la propria azienda divenga oggetto di un attacco informatico.
Proteggere il nome del proprio marchio durante un attacco di cybersecurity è, infatti, un aspetto cruciale della gestione della reputazione e della fiducia della propria organizzazione, perché solitamente quando queste notizie vengono riportate dai media hanno un’accezione negativa rispetto a presunte mancanze dell’azienda vittima dell’attacco.
Se l’impatto iniziale di un incidente informatico può costare alle aziende anche milioni per rendere nuovamente sicuri applicazioni e servizi, c’è anche da considerare l’impatto sulla reputazione del brand e l’investimento necessario per ricostruire la fiducia agli occhi di clienti e prospect. Un danno evidente, se si pensa che in Italia l’80% delle vittime colpite sono PMI e il 91% sono aziende con fatturato inferiore ai 250 milioni di euro.
Essere preparati, non reattivi
Nel caso di una crisi di sicurezza informatica, preparazione, trasparenza e risposte rapide sono fondamentali. Mantenere la reputazione del marchio di un’azienda di fronte a un incidente di cybersecurity richiede un mix strategico di azioni relative alla cybersecurity in sé e comunicazione di crisi.
Gli incidenti legati alla cybersecurity sono caratterizzati da molte complessità, e quindi un piano di azione per ripristinare la sicurezza compromessa dovrebbe sempre essere affiancato da una strategia di comunicazione che includa un manuale con bozze di dichiarazioni ai media, e-mail modulari e un processo di approvazione chiaramente definito. L’esistenza di piani di questo tipo riduce la probabilità di risposte avventate e impulsive.
Una recente ricerca di Forrester ha rilevato che la fiducia è un imperativo per la crescita di tutte le aziende, siano esse start-up, piccole imprese o grandi aziende consolidate. Una comunicazione rapida e accurata in caso di crisi aiuta a ridurre la confusione, dimostra l’impegno dell’azienda a risolvere il problema e preserva il livello di fiducia tra clienti e marchi. Combinando solide difese di cybersecurity con un’abile comunicazione di crisi, è possibile non solo mitigare i danni alla reputazione, ma anche mantenere la fiducia dei clienti e l’integrità del marchio in un panorama digitale sempre più pericoloso.
Comunicazione interna ed esterna
Parte integrante di qualsiasi piano di comunicazione di crisi è il mantenimento di canali aperti con gli stakeholder interni ed esterni, tra cui clienti, azionisti, fornitori, partner e media. Una comunicazione continua e trasparente è fondamentale per informare gli stakeholder dell’attacco e delle azioni intraprese per ridurne gli impatti negativi.
Prima che ciò avvenga, è essenziale stabilire chi deve essere presente nella stanza quando si prendono le decisioni e si eseguono i piani. Il team deve essere composto da specialisti IT, consulenti legali ed esperti di comunicazione che coprano l’intero processo di esposizione dell’azienda agli incidenti informatici.
Un piano di comunicazione di crisi efficacemente strutturato rafforza la resilienza di un’organizzazione e garantisce una risposta coordinata con messaggi personalizzati ai diversi stakeholder. Ad esempio, comunicazioni interne ai dipendenti per informarli della situazione, sottolineando al contempo la necessità di riservatezza fino a quando l’azienda non avrà avviato la propria risposta informatica.
In conclusione, combinando solide misure di cybersecurity con un’efficace comunicazione di crisi, le aziende possono mitigare i danni dei cyberattacchi e sostenere l’integrità del proprio marchio, preservando la fiducia e la fedeltà dei clienti.