Rädda varumärket och förtroendet vid en it-attack
Det första steget: Bekräfta läget
När en it-attack inträffar är din omedelbara respons avgörande. Enligt Jeanette Fors-Andrée bör du tidigt ha ett tydligt kundfokus för att skydda företagets varumärke och förtroendekapital. Det handlar om att snabbt bekräfta för kunderna att företaget känner till att något har hänt, exempelvis att det pågår en driftstörning. Genom att visa att ni är närvarande kan ni begränsa skadan och undvika onödiga spekulationer, säger Jeanette.
Delegera och ta hjälp
För chefer, särskilt i mindre företag, är delegering en nyckelstrategi under krisen.
Om du är en person som hanterar allt, exempelvis en vd på ett mindre företag som är ensam i din roll, måste du vara duktig på att delegera till ledningsgruppen. Ledningsgruppen fungerar som vd:ns förlängda arm i dessa lägen.
För egenföretagare eller småföretag med begränsade resurser är det inget fel att ta in extern kompetens.
Att ta in extern hjälp är ofta nödvändigt för att hantera situationen när du inte har de egna resurserna, tillägger hon.
Agera inte i panik
Det vanligaste misstaget företag gör är enligt Jeanette att agera i panik av rädsla för reaktioner, mediedrev och kritik.
Det leder ofta till att du vidtar panikartade åtgärder. I stället bör du försöka fokusera på att ta det i rätt ordning, även om du är under press. Då kan du göra rätt saker, ringa in faran och begränsa skadan – i fyra steg:
- Konstatera läget och bekräfta för kunder att ni är medvetna om att något har hänt, exempelvis via mejl kommunicera till era kunder om att det pågår en driftstörning
- Lägg resurser på att faktiskt skapa dig en bild av läget – vad beror det på och vad måste göras för att komma tillbaka till ett normalläge? Ta hjälp av externa resurser om det behövs
- Under tiden kan du kommunicera att ni arbetar med att lösa problemet för att inte tappa kommunikationen
- När krisen är avvärjd, visa transparens och dela med er om vad som hänt, i den mån företaget är bekväma med att dela
Jeanette betonar vikten av att informera om läget, även om det inte finns några nyheter att rapportera.
Det är en bra strategi att säga samma sak igen, även om ingen ny information finns. På så sätt undviker du spekulationer, säger Jeanette.
Skapa en tillåtande kultur
Att en medarbetare av misstag klickar på en farlig länk är inte ovanligt, och det är viktigt att skapa en tillåtande kultur där misstag inte stigmatiseras. Vi är människor och vi gör misstag, säger Jeanette. Istället för att peka finger kan ni istället ta tillfället i akt att vänligt påminna om vikten av it-säkerhet.
Vinn med transparens
En balans mellan transparens och skydd av känslig information är ofta den största kommunikativa utmaningen vid en it-attack.
Ditt företag tjänar mer på att vara öppna och visa att ni har fallit offer för organiserad brottslig verksamhet, menar Jeanette. Genom att visa hur komplexa dessa attacker är, kan företag vinna sympati och förståelse från kunder och allmänhet, utan att avslöja sina svagheter.
Förberedelser kan förhindra krisen
Jeanettes viktigaste råd till små- och medelstora företag är att förbereda sig på att en kris kan komma.
Förutom de rent tekniska it-säkerhetsåtgärderna kan ditt företag förbereda er kommunikativt för att vara beredda om ni råkar ut för en it-attack. Formulera några meningar som ni känner er trygga med så att ni har en chans att snabbt bemöta det som händer. Bara för att ni har drabbats behöver det inte betyda att det är kört, avslutar Jeanette och tillägger:
Med bra krishantering och kommunikation behöver inte en it-attack utvecklas till en förtroendekris.
Så gör ditt företag för att hantera en it-attack:
- Bekräfta omedelbart för kunderna att ni är medvetna om problemet (till exempel genom att kommunicera om driftstörning).
- Delegera ansvar inom ledningsgruppen eller ta extern hjälp om interna resurser saknas.
- Håll både kunder och medarbetare kontinuerligt uppdaterade, även när ingen ny information finns.
- Skapa en tillåtande arbetskultur där misstag accepteras och it-säkerhet är en kontinuerlig prioritet.
- Var transparent utan att avslöja för mycket om företagets sårbarheter, och betona att ni är offer för avancerad brottslighet.
- Agera metodiskt och systematiskt under press för att ringa in faran och begränsa skadan.