對于網絡攻擊事件的回應表明，企業可能很難在事件發生的過程中獲得正確的信息。雖然管理與事件相關的通信不在首席信息安全的直接職權范圍內，但企業擁有現有的通信計劃是網絡防范的基本要素。

幫助企業進行網絡攻擊事件管理等業務的Hall&Wilcox公司網絡主管Eden Winokur表示，“溝通是良好網絡戰略的關鍵組成部分，在網絡攻擊事件發生之前，企業應該做好準備并進行實踐?！?/p>

網絡安全準備應包括通信計劃

Winokur的建議是，在應對網絡安全事件時，寧可犧牲透明度，也要確保準確性。他說，“網絡安全問題不僅僅是一種IT風險，也是一種企業風險，網絡安全防范的一個關鍵部分包括在企業內部之間、以及與外部利益相關者的溝通策略?！?/p>

如果是一個重大事件，那么與在處理網絡攻擊方面有著豐富經驗的人員進行溝通是至關重要的。Winokur指出：“我們建議企業與外部專家在網絡安全方面以及公眾或媒體會如何接受某些信息進行溝通?！?/p>

雖然行業協會或政府部門在制定溝通計劃方面幾乎沒有提供官方指導，但企業的溝通團隊與高級領導層、法務部門和首席信息安全官團隊應該在制定應對措施方面發揮作用，這需要考慮隱私法規、上市公司和執法機構的披露義務要求。

Winokur建議從分析和記錄所有相關的利益相關者(內部和外部)開始，并隨著情況的變化不斷更新記錄。他說，“我們還建議企業履行關鍵合同，了解與客戶溝通的義務?！?/p>

企業已經批準的聲明可以迅速加以修改，并將為有組織的反應奠定基礎。Winokur說：“需要有可以針對具體問題量身定制的模板。這些信息可以發布給員工、政府、利益相關者、客戶或客戶，可以發布在網站上，也可以發布在任何可能需要的地方。”

在發生網絡安全事件之后不要急于與利益相關者溝通

當網絡安全事件最初發生時，往往是未知的情況，人們強烈希望消除甚至遏制這一事件。處理危機通訊的Reputation Partners公司的執行副總裁兼總經理Andrew Moyer警告說，對準確性的需求至關重要。他表示，如果企業在某個時間點基于理解而搶先發布明確的聲明，但隨后又放棄或改變這些聲明，這可能會帶來更大的災難。

突然之間，一次網絡安全事件演變成了一場全面的公關危機。如果情況發生了變化，就會對企業的可信度產生質疑。Moyer說：“企業對網絡安全事件不要說得太具體，以至于失去了可信度。”

Moyer表示，隨著網絡攻擊變得越來越頻繁，公眾對發生的事件有了一定程度的了解。因此，人們更容易接受企業的陳述，所以企業不必把自己置身于困境。他建議使用包含“相對規模”術語的語言進行描述，例如，“我們知道受影響的人數有限”，而不是“我們認為有1000人受到影響。”

任何處于一線的人員都需要一個發生什么事情的早期預警信號，并與決策者直接聯系，提出何時有必要啟動危機計劃的問題。Moyer說：“作為溝通策略的一部分，為了確保準確無誤，確認調查是否正在進行，并多次發表這種聲明，這是至關重要的。其中一些可以歸結為盡早將這些材料作為模板，以便人們完成初步審查并簽字，因此可以更快地行動?！?/p>

如何確保制定良好的事故后溝通計劃

現有的溝通計劃將繪制信息流圖，以確保正確的人員得到及時的信息，以便組織起來并傳播信息，從而使每個人都得到一致的信息。如果是數據泄露事件出現在企業內部，可以建立危機應對團隊，包括首席信息安全官、溝通主管和人力資源部，目的是讓每個人都了解他們在這一特定響應中的角色和責任，以及企業對速度和準確性之間的平衡的偏好。

然而，事故后溝通計劃的強大程度取決于它的測試。Moyer說：“重新審查可以讓企業定期評估風險。例如，有沒有在去年沒有想到的新風險需要進行規劃?有沒有可以彌補的差距和漏洞?制定一個完整的計劃意味著避免依賴企業內部關于如何處理危機的集體記憶的問題。這也確保了如果企業具有豐富經驗和知識的員工退休或離職，如果出現網絡安全事件，也可以進行求助。”

當涉及到網絡安全時，有很多事情需要考慮，其中可能包括州、地方、聯邦和國際層面的法規或要求，與合作伙伴或客戶的合同條款等等。這就是建議在通話簿上標注外部顧問和危機處理人員電話號碼的原因。他說，“企業提前建立這些關系，將會在發生網絡安全事件時更快地行動?！?/p>

停止溝通可能會使情況變得更糟，建議進行外部溝通在這里很有用。Moyer說：“外部顧問可以評估關鍵標準，以決定企業是否需要將網絡安全防范措施從被動轉向主動，是否需要改變要傳達的信息或敘述?”

Moyer建議首席信息安全官制定一個良好的運營計劃，并在內部與其他利益相關者溝通，同時還要了解他們的運營響應如何與溝通響應相匹配，這是雙向的渠道。他解釋說，“因此，首席信息安全官和通信人員都可以了解運營響應，這鼓勵他們推動這些功能之間的聯系，如果目前還沒有實現的話。這并不是讓專注于關鍵運營響應的人承受過重的通信負擔，而是確保信息流、組織結構和流程能夠最大程度地實現這一點。”

事件檢測為通信定下了基調

早期發現不僅對限制網絡攻擊的損害至關重要，而且對管理措施反應至關重要。畢馬威(KPMG)公司的合伙人Paul Black專門研究網絡事件響應。他表示，企業發現自己遭遇網絡攻擊事件的方式決定了他們如何應對。他經?？吹胶芏嗥髽I直到一段時間后才意識到出現漏洞，有時是當他們的數據開始出現在暗網上時。他說，“他們通常會出現恐慌反應，因為企業從第三方那里獲得數據是很常見的，無論是客戶還是競爭對手、執法部門或監管機構，這些數據都出現在暗網上?！?/p>

他說，“如果能夠迅速了解根本原因，就會為確保引入正確的利益相關者、發出正確的通知、管理數據以及適當管理與第三方的通信鋪平道路。檢測和感知元素實際上與通信元素相連，因為知道得越早，就能更好地理解和傳遞信息。也許這種聯系在安全領域和首席信息安全官之間并不總是明確的。”

Black建議企業利用他們的網絡保險，其中包括公關和危機溝通。這樣做可以幫助應對網絡安全事件，特別是在圍繞企業的數據資產以及如何處理披露義務的討論中。在某些情況下，通信手段可能是問題的一部分，例如商務電子郵件妥協(BEC)，因此可能需要關閉一段時間，這只會增加挑戰。最重要的是，建立一個管理事件的指揮鏈，這在內部和外部溝通方面是至關重要的。

另一個需要考慮的問題是，在數字通信時代，內部溝通與對外披露一樣重要。他說，“這些事情可能非常敏感。企業在內部公布通訊內容說 ‘我們遭遇了數據泄露，正在進行調查’，這樣做可能不太合適，因為這件事在第二天可能就會登上報紙的頭版?！?/p>

Black還鼓勵首席信息安全官和企業高管花費時間運行模擬場景，對響應計劃進行壓力測試。他說：“這往往讓企業高管在面對網絡攻擊時束手無策，因為這并不一定符合預先準備好的事件響應計劃?！?/p>

他建議首席信息安全官不要避免具有挑戰性的練習，而只是滿足于召開洞察會議，因為擔心可能會讓企業高管感到尷尬。他說，“這是最糟糕的事情，因為人們希望在安全的環境中經歷這樣的場景，從而可以承受壓力。然而，在網絡安全事件發生時，人們將面臨巨大的壓力。

最好的結果是，如今企業確定了100個漏洞，并且每個人都有一個需要解決的20個行動項目的列表。這意味著總的來說，已經確定了響應能力的不足之處，可以解決這些問題，然后提升能力。反應最有效的企業已經投入更多的時間和資源來挑戰自己，并從這些實踐中學習?！?/p>