질문: 조직은 보안 사고 발생 시 사용자 및 외부 이해관계자와 어떻게 효과적으로 소통할 수 있습니까?
Ashley Sawatsky, 수석 사고 대응 옹호자, Rootly: 아무리 잘 준비되어 있어도 보안 위반을 경험하는 것은 모든 규모의 조직에게 엄청난 도전입니다. 이는 피해를 입은 사람들과 일반 대중에게 정보를 제공하는 책임을 맡은 의사소통 담당자에게 가장 미묘한 상황 중 하나입니다. 이러한 상황은 기술적으로 복잡하고 감정적으로 부담스러우며 회사에 깊은 영향을 미치는 경우가 많습니다. 브랜드에 대한 대중의 신뢰. 소셜 미디어, 온라인 뉴스룸 등 어떤 방법으로 뉴스를 공유하든 이러한 커뮤니케이션은 철저한 조사를 받게 됩니다. 당신이 선택하는 모든 단어가 중요합니다. 글로벌 기술 기업을 위한 보안 커뮤니케이션 전략을 수립한 경험을 바탕으로 보안 사고 시 전문가 커뮤니케이션을 구축하기 위한 팁은 다음과 같습니다.
변호사를 데려오세요
너의 법률 고문 매우 민감한 보안 사고 발생 시 귀중한 리소스입니다. 글쓰기를 시작하기 전에 무엇을 전달할 수 있는지, 주요 고려 사항에 대해 상담하세요. 법무팀을 통해 메시지 초안을 보내면 공개 조사, 규제 문제 또는 소송으로 이어질 수 있는 중대한 실수를 방지하는 데 도움이 됩니다. 데이터 개인 정보 보호는 엄격하게 규제되고 매우 복잡합니다. 공개에 대한 의무는 지역, 노출된 데이터 유형 등에 따라 다릅니다. 이는 확실히 법률 전문가 없이는 다루고 싶은 영역이 아닙니다.
상황의 심각성과 회사 규모에 따라 전문 위기 관리 컨설턴트와 같은 추가 상담을 통해 경영진을 지도할 수 있습니다. 커뮤니케이션 전략.
앞서 나가세요
사람들이 언론 매체, 소셜 미디어 또는 기타 소스에서 데이터가 손상되었다는 사실을 알게 되는 것을 원하지 않습니다. 내부 관련 이해관계자(해당되는 경우 이사회 포함)를 제외하고 첫 번째 터치포인트는 직접적인 영향을 받는 사람들이어야 합니다.
즉, 이러한 통신 내용이 공개되자마자 공유될 가능성이 높습니다. 내러티브에 대한 통제력을 유지하려면 영향을 받는 당사자에게 통보한 후 즉시 배포할 보도자료를 준비하세요.
빠르고 빈번한 업데이트 제공
사건이 전개됨에 따라 새로운 정보가 끊임없이 밝혀질 것입니다. 한 번의 커뮤니케이션으로 사건의 모든 세부정보를 포착하려고 하기보다는 간단하고 명확한 업데이트 핵심 사항에 대해. 이러한 업데이트에는 다음과 같은 안심할 수 있는 사항이 포함될 수 있습니다.
-
우리는 영향을 받은 모든 당사자에게 직접 통보했으며 질문이나 우려 사항이 있으면 계속해서 지원할 것입니다.
-
우리는 데이터에 어떻게 접근했는지 확인하고 시스템을 다시 보호하기 위한 조치를 취했습니다.
-
이번 사건에 대한 완전하고 철저한 조사가 끝나면 자세한 보고서를 발표할 것입니다.
업데이트에 더 많은 정보를 포함할수록 진술이 맥락에서 벗어날 가능성이 더 커집니다. 개인정보가 침해될까봐 걱정하시는 분들은 정보 과부하에 주의하시기 바랍니다.
추측하지 마세요
사건의 확인되지 않은 세부 사항에 대해 추측하고 싶은 유혹이 있을 수 있지만, 특히 정보에 대한 대중의 압력이 상당한 경우에는 그렇게 하지 마십시오. 추측은 혼란과 힘을 낳을 수 있습니다 나중에 역추적 더 많은 것을 배우면서. 추측은 다음과 같습니다.
-
우리는 이 데이터가 악의적인 의도로 접근되었다고 생각하지 않습니다.
-
우리는 이 문제에 대한 빠른 해결을 기대합니다.
업데이트를 공유할 때 확인한 내용을 따르세요.
쓸데없는 결정을 조심하세요
정말로 "이런 일이 다시는 일어나지 않도록" 할 수 있습니까? 기대치를 설정하고 위험을 관리할 때 단어를 신중하게 선택하는 것이 중요합니다. 물론 고객을 안심시키고 싶지만, 광범위하게 확정적인 진술을 하는 것은 영합으로 비쳐질 수 있으며, 고객의 요구에 부응하지 않으면 더 많은 조사를 받게 될 수 있습니다. 대신, 구체적인 행동으로 뒷받침할 수 있는 진술을 하세요. 예는 다음과 같습니다.
고객 데이터의 보안은 우리의 최우선 과제이며, 우리는 이 문제를 매우 심각하게 받아들였습니다. 이 문제를 발견한 이후 우리는 플랫폼을 더욱 보호하기 위해 다음을 포함하여 다양한 조치를 취했습니다.
-
위반 사항이 발견되는 즉시 법 집행 기관에 연락
-
중립적인 제XNUMX자 감사자를 통해 완전하고 철저한 보안 감사 수행
등등.
고객을 응대하는 팀을 잊지 마세요
고객 지원팀이 있는 경우 공개된 보안 침해가 발생할 경우 문의를 받을 수 있습니다. 이러한 유형의 상호 작용을 어떻게 처리하기를 원하는지 명확하게 설명하세요. 특정 연락처로 리디렉션해야 합니까? 그들에게 제공할 수 있는 진술이 있나요? 비공개 정보를 공개하거나 전화를 건 사람의 고조된 감정을 관리해야 한다는 압력을 받을 수 있으므로 이러한 어려운 상황을 자신있게 처리할 수 있도록 설정하는 것이 중요합니다.
전문가 소개
Ashley Sawatsky는 SaaS 세계에 특별히 초점을 맞춘 사고 관리 및 커뮤니케이션 전문가입니다. 약 XNUMX년 동안 Shopify 사고 대응 프로그램의 창립 멤버로서 그녀는 사고 커뮤니케이션 및 프로세스를 주도했습니다. 현재 그녀는 Rootly의 수석 사고 대응 옹호자로 Canva, Cisco, Nvidia 등과 같은 거대 기술 기업과 사고 대응 전략에 대해 컨설팅하고 있습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cybersecurity-operations/best-way-communicate-after-data-breach
