Comunicazione in caso di crisi nell’era digitale

Riprendiamo l’articolo “Come approcciare Business Continuity e Cyber Security sinergicamente” pubblicato lo scorso 27 aprile per approfondire il tema della comunicazione in caso di crisi. Lo scopo di questo articolo è quello di tratteggiare come la comunicazione di crisi possa diventare parte integrante dei processi di gestione degli incidenti fisici ma soprattutto “logici” di ogni organizzazione, anche in un’ottica di conformità alle recenti disposizioni di legge in ambito ‘privacy’ e ‘data breach’.

L’importanza della Comunicazione in Caso di Crisi nell’era digitale

L’accentuata dipendenza di ogni organizzazione dai sistemi informativi, i sempre più rapidi cambiamenti e le evoluzioni nel mondo digitale, la complessa interdipendenza tra sistemi IT affidati anche a terzi e gli onnipresenti attacchi cyber rendono molto probabile che in ogni organizzazione prima o poi si verifichi un incidente, anche in ambito IT, che meriti la definizione di ‘crisi’.

Le organizzazioni in grado di contenere efficacemente i danni conseguenti una crisi che impatti sui sistemi informativi sono ancora poche, ancora meno sono quelle in grado di attivare tempestivamente una corretta strategia di crisis communication.

Tutto questo fa riflettere, soprattutto considerando che fino al 70% del valore di un’azienda è determinato dagli “asset” intangibili (Fonte: https://www.cuoaspace.it/2012/05/crisis-management-comunicare-in-situazioni-di-rischio-e-di-crisi.html). È chiaro quindi che l’impatto di una crisi può essere molto significativo dal punto di vista della Brand Reputation e, di conseguenza, del valore complessivo dell’azienda.

Questo impatto potrebbe essere contenuto se un’organizzazione adottasse una corretta strategia di comunicazione in caso di crisi, il che salvaguarderebbe anche la fiducia degli stakeholder, elemento questo indispensabile per la crescita e la sopravvivenza delle imprese. E’ noto che la fiducia va conquistata nel tempo e difesa sempre, come sostenuto dell’imprenditore ed economista statunitense Warren Buffett: “Ci vogliono vent’anni per costruire una reputazione e 5 minuti per distruggerla”.

La crisis communication nasce originariamente nell’ambito della gestione dei disastri fisici, cioè quando un evento naturale come un terremoto o un incidente creato dall’uomo, come un incendio o una bomba, colpisce un asset fisico: un edificio, un data center, un magazzino. La crisis communication è spesso considerata parte integrante del Business Continuity Management Process, ma suoi risvolti sono più ampi e hanno punti di contatto anche con altri sistemi di gestione e con altri requisiti normativi.

Elementi fondamentali per una efficace Crisis Communication

Indipendentemente dalla causa della crisi, è opportuno che le organizzazioni considerino un insieme di elementi invarianti e fondamentali della crisis communication:

1. Sistema di gestione della crisi: la crisis comunication è una componente del più ampio sistema di gestione degli incidenti, noto anche come crisis management system. Perché una crisi sia dichiarata tale, l’organizzazione deve essere dotata di un processo di identificazione, valutazione, escalation e gestione degli incidenti che ne consenta la gestione tempestiva, comprensiva dell’eventuale dichiarazione di stato di crisi. Il processo della comunicazione di crisi si deve integrare perfettamente in tale sistema, assicurando la tempestiva diffusione di messaggi corretti sia all’interno dell’organizzazione, a dipendenti e investitori, sia all’esterno, ai media, autorità di controllo, etc;
2. Scenari di crisi: tutte le organizzazioni dovrebbero determinare, preventivamente, quali sono gli scenari di crisi che possono concretizzarsi e quindi prepararsi a fronteggiarli, anche gestendo le comunicazioni interne ed esterne. Alcuni di questi scenari sono necessariamente innovativi e strettamente collegati all’evoluzione tecnologica di questi ultimi anni. Ad esempio, la necessità di gestire crisi reputazionali originate da incidenti “tradizionali”, ma amplificate vertiginosamente dai social network, come dimostrato nel recente caso della banca TSB (https://www.wsi.co/mercati/gran-bretagna-banca-tsb-in-tilt-lascia-nel-caos-19-milioni-di-clienti-online/);
3. Comitato di crisi: nell’ambito del crisis management è necessario definire un comitato di crisi che preveda al suo interno il responsabile della comunicazione. Molto spesso è opportuno formare i vertici aziendali sulle tecniche di gestione da adottare in queste situazioni, tentando di rispettare alcune regole chiave:
   • non mentire;
   • mostrare attenzione e sensibilità nei confronti di chi ha subito dei danni;
   • usare un linguaggio comprensibile a tutti, mai tecnico;
   • rispettare cultura, usi e abitudini degli interlocutori;
   • adottare lo stesso messaggio con tutti gli interlocutori, evitando di dare informazioni ottimistiche ad alcuni e pessimistiche ad altri;
   • monitorare le reazioni in tempo reale, anche tramite i social;
   • documentarsi sugli obblighi di legge applicabili alla situazione ed essere pronti a rispondere a domande sulla conformità delle proprie azioni a tali requisiti.
4. Mappa degli stakeholder: è necessario che tutte le organizzazioni dispongano di una mappa aggiornata degli stakeholder con cui interfacciarsi in caso di crisi. Come detto in precedenza, l’organizzazione in condizioni di crisi non deve dimenticarsi di nessuno dei propri stakeholder, raggiungendoli con messaggi omogenei anche se in tempi diversi, dettati da una priorità di comunicazione. L’elenco degli stakeholder comprende i clienti, fornitori, partner commerciali, dipendenti e loro famigliari, autorità locali e nazionali, enti di controllo territoriali e di categoria, enti finanziari e investitori, stampa tradizionale e online, forze dell’ordine e di primo intervento, comunità locali e consumatori diversamente organizzati e rappresentati.
5. Piano di continuità: il piano da attuare per la comunicazione in caso di crisi deve essere supportato da procedure tecniche e organizzative di mitigazione delle conseguenze dell’incidente. Non basta essere efficaci nella comunicazione di crisi, l’azienda deve essere anche in grado di risolvere la crisi, seguendo un piano di azione preventivamente definito. Quanto sopra si applica particolarmente nelle crisi produttive, durante le quali è possibile predisporre e mettere in atto soluzioni tecniche ed organizzative idonee. Ad esempio una procedura di “patch” massivo, tempestivamente applicata, può supportare l’affermazione dell’azienda colpita da un ransomware, che “..la situazione è sotto controllo e non ci sarà una ulteriore propagazione del problema all’interno dei nostri sistemi”. In generale, le procedure più rilevanti da progettare e mettere in campo sono quelle finalizzate a mantenere la continuità dei processi informativi e produttivi.

Comunicazione in Caso di Crisi nei contesti di Cyber Security, Data Protection e Business Continuity

Gli scenari emergenti di crisi sono la conseguenza diretta dell’inscindibile legame fra l’azienda, le informazioni, i sistemi digitali e il complesso framework normativo ad essi collegato. Nel seguito di questo paragrafo sono presentati alcune possibili azioni da attuare per una corretta strategia di comunicazione in caso di:

1. Crisi conseguente alla violazione della riservatezza dei dati personali, sviluppando un processo di crisis communication che risponda alle esigenze dello standard ISO/IEC 27001 e del nuovo regolamento sulla protezione dei dati personali – GDPR;
2. Crisi conseguente alla violazione della riservatezza dei dati aziendali, sviluppando un processo di crisis communication management che risponda alle esigenze dello standard ISO/IEC 27001;
3. Crisi conseguente all’interruzione di servizi e processi vitali per l’organizzazione, sviluppando un processo di crisis communication management che risponda alle esigenze dello standard allo standard ISO/IEC 27001, al GDPR e agli standard di riferimento in ambito Business Continuity management (ad esempio ISO/IEC 22301 e Professional Practices DRII, etc…).

Crisis Communication e Data Breach: gestire la Comunicazione in Caso di Crisi in conformità al GDPR

A differenza di un evento di crisi riconducile alla violazione della riservatezza di un dato di “business”, le azioni da mettere in campo nel caso di violazione della riservatezza di dati personali, i così detti data breach, devono seguire delle precise indicazioni di legge. Per non incorrere nelle sanzioni previste dal GDPR, è assolutamente necessario predisporre un processo aziendale che garantisca l’effettuazione di determinate comunicazioni, la cui attuazione è obbligatoria e non eludibile.

Infatti, il GDPR, all’articolo 33 “Notifica di una violazione dei dati personali all’autorità di controllo” chiede esplicitamente al titolare del trattamento, ovvero la persona fisica o l’organismo che determina le finalità e i mezzi del trattamento di dati personali, di effettuare una notifica all’autorità di controllo entro 72 ore dal momento in cui viene a conoscenza di una violazione dei dati personali. Tale notifica all’autorità di controllo deve:

• descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
• comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
• descrivere le probabili conseguenze della violazione dei dati personali;
• descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Il successivo articolo 34 “Comunicazione di una violazione dei dati personali all’interessato”, richiede al titolare del trattamento, qualora si verificasse una violazione dei dati personali con un rischio elevato per i diritti e le libertà delle persone fisiche, di effettuare una comunicazione a tutti gli interessati. Tale comunicazione dovrà “[…] descrivere con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contenere almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b, c e d”.

Comunicazione in caso di crisi per incidenti alla sicurezza delle informazioni: conformità allo Standard ISO/IEC 27001

Un incidente di sicurezza delle informazioni può causare la divulgazione di informazioni aziendali rilevanti e determinare una situazione di crisi. La violazione della riservatezza in un contratto con un partner strategico, ad esempio, potrebbe mettere a conoscenza di concorrenti dei segreti su sistemi d’arma, accordi tra Stati, o ancora informazioni su una molecola in fase di sviluppo in ambito farmaceutico.

Nonostante nella norma ISO/IEC 27001 la comunicazione sia un requisito presente e descritto al punto 7.4, non è esplicitamente richiesta l’esistenza di un processo di crisis management né, conseguentemente, un processo di crisis communication. I controlli di sicurezza pertinenti la gestione degli incidenti di sicurezza delle informazioni sono infatti raggruppati nel security control “A.16 Information security incident management”, e la comunicazione dell’incidente è indicata nell’obiettivo di sicurezza del controllo stesso.

Inoltre, il requisito 7.4 richiede di determinare tutte le necessità per le comunicazioni interne ed esterne, individuando:

• cosa deve essere comunicato;
• quando deve avvenire la comunicazione;
• verso chi rivolgere la comunicazione;
• chi deve effettuare la comunicazione;
• i processi attraverso i quali devono essere effettuate le comunicazioni.

La corretta e meticolosa implementazione di questo requisito è certamente sufficiente a definire un processo di crisis communication.

Comunicazione in Caso di Crisi e Business Continuity: gestire l’interruzione dei servizi vitali

Non solo cyber attack, ma anche eventi fisici di varia natura come un incendio, l’allagamento o un generico guasto, possono comportare il blocco dei sistemi informativi e la conseguente indisponibilità di processi e servizi critici.

Per questo motivo, dagli anni ’70 in poi le aziende si sono dotate di procedure di continuità operativa, che il più delle volte convergono verso un piano di Disaster Recovery, atto a ripristinare i sistemi IT a seguito di un grave incidente. Le prime linee guida su come realizzare tale procedure e soluzione risalgono a quegli anni e furono pubblicate con il nome di “Professional Practices” da parte del Disaster Recovery Institute International. Negli anni successivi l’ambito di tali procedure di continuità fu esteso all’intera organizzazione, assumendo il nome di Business Continuity Plan.

La presenza di un Business Continuity Plan è certamente utile per garantire il successo di un processo di crisis communication. Per questo motivo, anche nell’ambito degli incidenti di sicurezza delle informazioni, che coinvolgano i sistemi informativi, è spesso ritenuto necessario, anche se non cogente, dotarsi di un sistema di gestione della continuità operativa.

Per l’implementazione di tale sistema di gestione le organizzazioni dovrebbero conformarsi alla norma ISO 22301, che rappresenta lo standard di riferimento di tale materia, nel cui paragrafo 8.4.4, dedicato al contenuto del business continuity plan, è citata la necessità di gestire adeguatamente i media, predisponendo quanto necessario, ad esempio comunicati stampa e nominando un portavoce in grado di comunicare efficacemente con i media o delegando tale responsabilità a una società esterna, come uno studio di public relations.

Anche il regolamento europeo GDPR richiama l’utilità di predisporre un sistema di business continuity: nello specifico l’articolo 32 recita:

“[…] il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire […] la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; […]”

All’interno del GDPR non è specificata, però, la richiesta di un processo di crisis communication.

Altri standard in ambito BCM, quali le Professional Practice DRI citate in precedenza, danno maggiori informazioni in tal senso. La Professional Practice 9, ad esempio, ha il duplice obiettivo di:

• fornire un quadro per lo sviluppo di un piano di comunicazioni in caso di crisi;
• assicurarsi che il piano di comunicazione in caso di crisi fornisca informazioni puntuali ed efficaci, sia verso l’interno sia verso l’esterno.

Inoltre, nelle Professional Practice viene specificato puntualmente il ruolo dell’esperto coinvolto e sono descritte le attività che devono essere implementate per raggiungere l’obiettivo.

L’importanza di un processo aziendale per la Comunicazione di Crisi

In conclusione si può osservare come non si possa prescindere da una chiara e precisa formulazione di un processo aziendale di crisis e communication management, del tutto integrato con l’insieme dei processi aziendali, che assegni puntualmente ruoli e responsabilità, che dettagli operativamente la sequenza di operazioni che devono essere attuate in caso di crisi e che si assicuri dell’efficacia complessiva del processo, sottoponendolo a periodici test di performance. Tutto questo non può essere evidentemente improvvisato e lasciato a libere interpretazioni: l’adozione di standard internazionali, la conformità alle normative vigenti rappresentano un vincolo ineludibile.

 

A cura di: Matteo Salvaggio