Telefonstorm efter hack: Har du en kriseplan, når dine kunders data bliver blotlagt?

Klumme: Det kræver en helt særlig kriseplan, hvis man bliver ramt af hackerangreb. Ærlig kommunikation er nøgleordet, og planen er nødvendig for virksomheder i alle størrelser, for den slags kriser kan være livstruende.

Organisationer verden over er i dag mere udfordret end nogensinde før.

Det skyldes, at der kommer flere kriser, at kompleksiteten af kriserne er steget, og at forventninger til hvor effektivt virksomhederne håndterer kriserne ligeledes er øget.

Med 24-timers nyhedskanaler og især sociale medier kan nyheden om 'kriser' spredes hurtigere og til mange flere end tidligere.

Det gør også, at de negative konsekvenser og den dårlige omtale i forbindelse med kriser, kan have katastrofale konsekvenser for et firma og dets renommé.

Derfor er kriseledelse blevet en kritisk ledelsesdisciplin i danske som udenlandske virksomheder. En kriseleder/crisis manager skal kunne håndtere kriser i form af både katastrofer, konflikter og fejl/fiaskoer, internt som eksternt, og i relation til den specifikke industrielle kontekst, som virksomheden opererer i.

Selv om kriseledelse og krisehåndtering generelt betragtes som en nylig snarere end en sædvanlig fremgangsmåde, har det efterhånden fået en fremtrædende plads blandt flere større vestlige virksomheder, som arbejder målrettet med det.

Kan også ramme mindre virksomheder
Større virksomheder har været toneangivende i arbejdet med krisehåndtering, men det er ikke kun dem, der har behovet for effektiv krisehåndtering.

Små og mellemstore virksomheder kan komme igennem akkurat samme 'vridemaskine' i pressen, hvis de ikke håndterer en krise professionelt.

Derfor er det også en disciplin, som små- og mellemstore virksomheder skal kunne mestre. Heldigvis kan krisehåndtering i dag etableres til overkommelige priser, hvorfor det også er muligt at integrere for virksomheder af mindre størrelse.

Men pointen er, at krisehåndtering ikke er en statisk ting men en kompetence, som konstant skal udvikles, for krisehåndtering er dømt til at mislykkes uden tilstrækkelig uddannelse, læring og udvikling af menneskelig kapital (OECD, 2016).

Hacker-angreb er komplekse kriser
Kriser kommer i mange former, men særligt hacker-angreb er komplekse.

Har en organisation fået kompromitteret - og i værste fælde stjålet personfølsomme oplysninger for eksempel fra kunder og medarbejdere - kræver det en effektiv eksekvering af en gennemøvet kriseplan, som er udarbejdet til denne type krise.

Det nytter ikke noget at sætte sin lid til kriseplaner for ildebrande eller produkt-tilbagekaldelse, for hver krisetype kræver sit unikke beredskab.

Kompleksiteten stiger yderligere ved, at organisationen typisk får nyheden om et angreb fra eksterne kilder som kunder, journalister eller politiet.

Det placerer organisationen i en reaktiv position, hvor man meget pludseligt skal kommunikere et ofte kompliceret og i sagens natur negativt budskab.
  • Hvordan kunne angrebet finde sted? 
  • Hvor længe har de personfølsomme data været udsat? 
  • Hvorfor har man først opdaget det nu? 
  • Hvad vil organisationen gøre for at redde situation.
  • Hvad vil man gøre for at sikre, at det ikke sker igen?
Kompleksiteten og presserende spørgsmål som disse er muligvis årsagen til, at kun 21 procent af 170 adspurgte virksomheder i analysen "Crisis Management Insights Survey (2015)" mente, at netop deres organisation var forberedt til en cyber-krise, mens 64 procent mente, at deres organisation var forberedt på en fysisk krise som for eksempel en ildebrand.

Hvordan forbereder man sig?
Så hvordan forbereder organisationen sig til kriser af den kaliber?

Effektiv krisehåndtering kræver parathed, koordination og mulighed for efterfølgende opfølgning og evaluering.

Parathed indebærer at have udarbejdet en kriseplan til netop denne type af krise, og at alle relevante parter i organisationen har øvet planen igennem.

Ved at øve - for eksempel med table-top exercises - bliver fejl og mangler i kriseberedskabet identificeret, og man kan derfra evaluere og forbedre. Det betyder også, at kriseplanlægningen er en kontinuerlig proces.

Koordination sikres gennem en effektiv og transparent kommunikationskanal.

Der hersker i kriser megen usikkerhed, og beslutninger bliver derfor taget, selv om der ikke er megen information til rådighed.

Derfor er en struktureret, systematisk og formaliseret opsamling og distribuering af information et vigtigt element i effektiv krisehåndtering.

Den strukturerede opsamling af data sikrer også, at man hurtigt kan kommunikere sit budskab og fortælle sin side af historien på en effektiv og professionel måde.

Hurtig og professionel kommunikation er afgørende
At fortælle sin side af historien hurtigt og professionelt er centralt, da stilhed inviterer andre til at kommentere og uddybe krisen og dens omfang på organisationens vegne, hvilket sjældent er i organisationens interesse.

Sådan ser checklisten ud for effektiv krisehåndtering:

● Udarbejd kriseplan til cyber-relaterede hændelser

● Øv kriseplanen minimum årligt og opdater den kontinuerligt

● Vær altid hudløst ærlig i ekstern kommunikation - især med, hvad man ikke ved

● Tal med én stemme. Her menes ikke én talsperson men derimod at de talspersoner, som bruges, alle taler ud fra samme kilde og er aligned

● Talspersoner bør uddannes i mediehåndtering - meget gerne inden krisen indtræffer!


Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.


Litteraturliste
Baubion, C. (2013), "OECD Risk Management: Strategic Crisis Management", OECD Working Papers on Public Governance, No. 23, OECD Publishing, Paris.

Bertrand, Robert and Chris, Lajta (2002). A New Approach to Crisis Management. Journal of Contingencies and Crisis Management

Lerbringer, Otto (1997), The Crisis Manager: Facing Risk and Responsibility. Lawrence Erlbaum Associates

MIT Technology Review (2016). Crisis Communication After An Attack. MIT Technology Review Custom, April 20, 2016.

OECD (2016). The Changing Face of Strategic Crisis Management. Paris. January, OECD Reviews of Risk Management Policies Series.

Steelhenge Consulting (2015). Integration and alignment in Crisis Management, Crisis Management Insights Survey 2015.


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
mest debaterede artikler

Premium
Langt de fleste offentlige myndigheder halter bagefter med it-sikkerheden
Langt de fleste offentlige myndigheder er stadig ikke nået i mål med it-sikkerheden, viser en ny undersøgelse fra Digitaliseringsstyrelsen.
Computerworld
Gratis wifi på vej i 15 danske byer: Disse danske byer bliver del af europæisk wifi-initiativ
Femten danske byer er blevet udvalgt til at deltage i et EU-initiativ, der betyder, at borger og turister i byerne i løbet af de kommende år vil få adgang til gratis wifi.
CIO
Tag med på Computerworlds store lederkonference og mød de danske top-CIO'er, som bygger de nye it-afdelinger
Anvendelsen af digital teknologi og organiseringen af it-afdelinger er under radikal transformation. På konferencen Digitaliseringsledelse 2.0 kan du møde de CIO'er fra Bankdata, Adform og Rockwool, som står i spidsen for teknologi-adoptionen.
Job & Karriere
Efter blodrødt regnskab: Nu fyrer Atea 20 medarbejdere i Danmark
Atea fyrer nu 20 medarbejdere. Det sker som en direkte konsekvens af, at den danske forretning er under pres, oplyser selskabets direktør.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.