Si sa, la parola è argento e il silenzio è d’oro. Questo non vale però nella gestione di un incidente cyber e della crisi.

Vero però che bisogna saper utilizzare le giuste parole, altrimenti l’effetto è analogo a quello di rispondere in modo troppo entusiasta all’invito del dottor Lecter in cui ci notizia circa il volerci per pranzo. Ovviamente, non comprendendo la portata della preposizione per.

Cogliendo questo spunto, infatti, il problema è proprio non capire cosa dire e come dirlo, o scegliere altrimenti la strategia del silenzio.

Questo può riguardare addirittura le comunicazioni imposte dalla normativa nei confronti delle autorità competenti (GDPR, NIS 2, DORA), con tutte le conseguenze del caso (si legge con la doppia z) nel momento in cui l’incidente sarà noto e le citate autorità ci porranno di fronte a due opzioni comune nefaste: non avere la capacità di rilevazione dell’incidente, o altrimenti non aver provveduto tempestivamente agli adempimenti. Ciascuna, rivelatrice o fortemente indiziaria di una gestione dell’incidente e della sicurezza non propriamente adeguata. Fatto che sarà altresì oggetto di pubblica attenzione, con buona pace della volontà di non far parlare di sé.

Parlare sì, ma parlare bene

Per non lasciare che sia l’incidente a parlare, certamente bisogna avere il controllo delle comunicazioni nei confronti di autorità, stakeholder e pubblico, sia durante che dopo la violazione di sicurezza.

La gestione di una crisi che ha portata interna ed esterna, come quella che accompagna un incidente di sicurezza cyber è un’attività complessa e strutturata, che deve essere affidata a professionisti e, soprattutto, che non può essere improvvisata.

Altrimenti, le conseguenze sono disastrose e dello stesso ordine di grandezza del silenzio.

La gestione della comunicazione relativa ad un incidente – intesa tout court, sia verso autorità che verso gli stakeholder – è frutto di una decisione strategica di governance. La quale andrebbe adottata preventivamente, in modo tale che non si vada a maturare un “debito organizzativo” a riguardo. Purtroppo, il condizionale è d’obbligo.

Insomma: nella strategia di gestione di un incidente cyber il silenzio non è una carta valida, dal momento che comunicare è fondamentale.

Certamente, bisogna saperlo fare. Altrimenti, sarà sempre l’incidente a parlare. E lo fa in modo terribilmente convincente.