Gli errori da evitare dopo una violazione ai dati

Il 2016 è stato un anno record per le violazioni dei dati, ma le tendenza è proseguita nel 2017 con yberattacchi di alto profilo. Eppure, i vertici aziendali continuno a incespicare nella gestione di questi momenti critici ingrandendo ed estendendo il danno, sia alla loro reputazione sia ai loro clienti.

Nell'analizzare le violazioni più gravi degli ultimi anni, è chiaro che i manager commettono una serie di errori comuni, il che è sorprendente visto che tante aziende, spesso guidate da leader altrimenti efficaci, non riescono a imparare dalle risposte frettolose e dalle situazioni mal gestite delle aziende che sono state violate prima di loro.

Prima di tutto, quanto più a lungo le aziende aspettano di informare i loro clienti, tanto maggiore sarà la probabilità che i criminali possano utilizzare i dati rubati.

Equifax ha impiegato quasi sei settimane per rivelare la sua violazione, Target non ha aperto bocca per quasi una settimana dopo che la violazione è stata segnalata da un blogger. Più di recente, è emerso che la Sec ha atteso un anno prima di rivelare informazioni sulla sua violazione.

Violazione ai dati, ipotesi probabile

I dirigenti di oggi devono operare nell'ipotesi che ci sarà un incidente informatico e dovranno quindi informare clienti, investitori e regolatori. La risposta emotiva immediata può essere quella di aspettare fino a quando tutti i dettagli sono disponibili, ma è negligente negare informazioni che potrebbero aiutare le persone a mantenere i loro dati e finanze al sicuro.

Il modo migliore per assicurare che dirigenti e team di comunicazione rispondano rapidamente alle violazioni è disporre di un piano di risposta agli incidenti ben oliato. Sembra che Whole Foods avesse un piano in atto poiché la società ha segnalato la sua più recente violazione cinque giorni dopo il rilevamento.

Meno male che c'è il GDPR

Per ovviare a queste situazioni nell’Unione europea il prossimo anno entrerà in vigore il GDPR (Regolamento generale sulla protezione dei dati) che alle imprese concede 72 ore di tempo per rivelare le violazioni dei dati.

Nel 2016, l'amministratore delegato di Yahoo Marissa Mayer non è riuscita a fare un passo fondamentale che avrebbe potuto proteggere rapidamente i clienti i cui account erano stati esposti in una violazione avvenuta due anni prima: reimpostare automaticamente tutte le password utente.

Questo avrebbe immediatamente bloccato l’entrata ai criminali, ma Mayer ha riferito che si era rifiutata di farlo perché avrebbe costretto tutti gli utenti a creare nuove password, e lei era preoccupata che questo li avrebbe infastiditi.

La trasparenza è fondamentale

Dopo la sua violazione, Equifax inizialmente ha offerto ai clienti un rapporto di credito gratuito per un anno se avessero rinunciato alla citazione in giudizio. La società ha inizialmente cercato di trarre profitto dal suo errore facendo pagare una fee alle persone che volevano congelare i loro rapporti, salvo poi abbandonare questa strada ed estendere la rendicontazione gratuita del credito per tutta la vita e rinunciare alle commissioni di congelamento del credito. Ma a quel punto, il danno di reputazione era stato fatto.

La priorità assoluta per Yahoo invece avrebbe dovuto essere quella di fare tutto il possibile per proteggere immediatamente i clienti. Equifax avrebbe dovuto offrire un monitoraggio gratuito e senza condizioni per aiutare i consumatori a rimanere sicuri. In questi casi il management deve assicurarsi che le soluzioni adottate siano allineate alla gravità della violazione, anche se sono costose da implementare.
La trasparenza è una pietra miliare per ricostruire la fiducia nel marchio.

Nonostante i numerosi errori nella risposta alla violazione, Equifax è stata abbastanza diligente nel mantenere aggiornato il pubblico sulle informazioni relative alla violazione. Oltre a distribuire un comunicato stampa e pubblicare un video sul sito il 7 settembre, la società ha creato un sito web dedicato per le notizie relative alle violazioni, che è stato aggiornato cinque volte nella settimana successiva.

Tuttavia, in più occasioni, l'account ufficiale Twitter ha indirizzato i clienti verso un sito di phishing. Il sito ufficiale aveva molteplici difficoltà tecniche e, quando era disponibile, chiedeva alle persone di verificare la propria identità con le ultime sei cifre dei loro numeri di previdenza sociale, fornendo esattamente il tipo di informazioni personali che erano state hackerate.

La vicenda di Sony

Sony ha gestito la violazione del suo PlayStation network (Psn) in modo ancora peggiore. Dopo aver scoperto l'intrusione nella rete, ha chiuso il network ma non ha detto nulla fino a due giorni dopo. Nelle settimane successive i dettagli sull'incidente sono stati casuali e i consigli ai clienti confusi. Essere onesti e fornire aggiornamenti chiari e frequenti permetterà di guadagne la fiducia ai clienti.

Una violazione massiccia non è un errore individuale o un guasto tecnologico, ma una rottura organizzativa che è responsabilità del top executive. Potrebbe non essere una sorpresa che i manager non la vedano in genere in questo modo. Uno studio condotto dalla società di gestione del rischio Stroz Friedberg ha rilevato che solo il 45% della prima linea di manager ritiene di essere responsabile della protezione delle proprie aziende contro i cyberattacchi.

Nel caso di Sony infatti sono stati necessari 11 giorni dalla violazione per vedere arrivare le scuse della direzione aziendale e 26 giorni perché il presidente di Sony Howard Stringer lo facesse pubblicamente. L'amministratore delegato di Equifax Richard Smith ha inizialmente dimostrato umiltà e responsabilità subito dopo il data breach dicendo in un video:"Deploro profondamente questo incidente e mi scuso con tutti i consumatori interessati e con tutti i nostri partner", ma dopo essere stato costretto a dimettersi ha accusato un dipendente di non aver adottato le misure di sicurezza di base nella sua testimonianza davanti a un comitato della Camera degli Stati Uniti.

Fino a quando un maggior numero di dirigenti di alto livello non inizierà a rendersi responsabili degli incidenti informatici e a imparare dagli errori che altri hanno commesso prima di loro, continueremo a vedere violazioni e scarsa leadership nelle risposte a questi attacchi.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.
CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here