Destaque: Quando ocorre um ataque cibernético: protegendo e reparando a reputação da marca

Por autores convidados: Sean Wood e Katherine Goodyear

Bem-vindo à última edição do Spotlight. O Spotlight é a nossa forma de partilhar ideias e perspetivas dos nossos parceiros estratégicos – advogados, seguradoras, gestores de risco e especialistas em comunicação de crise de vários setores – sobre questões que podem influenciar a visão de uma empresa sobre incidentes no mercado e gestão de crises.

Nesta edição, recebemos Sean Wood, vice-presidente executivo, e Katherine Goodyear, diretora de contas daWeber Shandwick, para uma visão geral das comunicações sobre segurança cibernética. Exploramos o que as empresas devem fazer para se preparar para um incidente e as medidas práticas que devem tomar para minimizar o impacto, proteger e melhorar a reputação da marca, caso ocorra um incidente.

Prefácio de Chris Harvey, vice-presidente sênior de atendimento ao cliente da Sedgwick:

Continue lendo para saber mais sobre as opiniões de Sean Wood e Katherine Goodyear.

Os incidentes de segurança cibernética estão entre as ameaças mais graves à reputação e aos negócios enfrentadas pelas empresas e podem minar rapidamente a confiança das principais partes interessadas — desde clientes e funcionários até o público em geral. Além disso, eles são difíceis de resolver, caros e estão crescendo rapidamente.

Estima-se queo crime cibernéticocustará aproximadamente US$ 6 trilhões em danos globalmenteem 2021, o dobro em relação a 2015 — eos ataques de ransomware aumentaram 151%no primeiro semestre de 2021, em comparação com todo o ano de 2020. O aumento consistente desses incidentes, sua sofisticação e seu potencial impacto operacional e financeiro ressaltam a importância de as empresas de todos os setores estarem preparadas.

De fato, umapesquisa globalrecente realizada pelaKRC ResearcheWeber Shandwickcom executivos de 12 países revelou que a segurança cibernética e a privacidade de dados são as duas principais preocupações dos executivos ao tomar decisões comerciais importantes.

Progredir planejando com antecedência

Embora as pessoas compreendam que incidentes de segurança cibernética acontecem, elas frequentemente julgam as empresas e organizações pela forma como respondem — e as responsabilizam quando as informações são expostas ou utilizadas indevidamente. Por esse motivo, a prioridade número um da empresa deve ser implementar um plano pré-incidente para permitir que a empresa responda rapidamente a um ataque.

Esse planejamento não é apenas a coisa certa a se fazer para proteger informações pessoais e comerciais confidenciais e a reputação da marca, mas também os clientes, seguradoras e o governo estão ressaltando a importância de fortalecer os planos de resposta a incidentes. Recentemente, o presidente dos Estados Unidos, Joe Biden, realizou umareuniãona qual descreveu a segurança cibernética como um “desafio fundamental à segurança nacional” e pediu ao setor privado que reforçasse a segurança cibernética do país em parceria e individualmente, com ênfase na solução da escassez de habilidades em segurança cibernética. Após as reuniões da Iniciativa Contra o Ransomware realizadas em outubro pelo Conselho de Segurança Nacional da Casa Branca, mais de 30 países e a União Europeia emitiram umadeclaração conjuntade cooperação para melhorar a resiliência nacional, combater o financiamento ilícito, interromper as atividades dos criminosos de ransomware e utilizar a diplomacia como ferramenta para combater o ransomware.

Neste caso, planejar significa:

• Desenvolver ou atualizar um plano de resposta a incidentes. Abrangendorespostas operacionais e de comunicação, esses planos devem ser integrados e descrever quem precisa estar envolvido, funções e responsabilidades, níveis e limites de risco, além de indicar um processo para comunicação rápida às partes interessadas afetadas.
• Estabelecer um plano de cenários para riscos e incidentes potenciais.O plano de cenários deve incluir considerações e orientações específicas para cada situação, bem como modelos de mensagens para as partes interessadas que possam ser rapidamente atualizados com os fatos da situação real, caso ocorra um incidente.
• Testando o plano.Realizar exercícios de simulação realistas é uma parte importante do processo de planejamento e preparação para testar a capacidade da organização de funcionar de acordo com o plano e os protocolos. Isso também identificará lacunas nos processos que precisam ser corrigidas antes que um evento real ocorra.
• Investir antecipadamente.Algumas organizações podem sentir que não têm condições de investir antecipadamente na implantação de uma central de atendimento para contingências ou outras soluções, mas essa é a melhor maneira de evitar a falta de preparação. Esse investimento pode incluir a implantação de uma central de atendimento para notificação de perdas/resposta a violações. Também pode envolver um hub de informações secundário, hospedado separadamente, ou um microsite, que pode ser ativado rapidamente para se comunicar com as partes interessadas por meio de canais alternativos, caso você perca o acesso aos seus sistemas.

Agora, quando ocorrer um incidente, sua empresa ou organização estará mais bem preparada para gerenciar a situação, ativar o plano em vigor e se concentrar na mitigação de qualquer risco.

Implementação do plano

Quando ocorre um incidente, a empresa deve imediatamente ativar seu plano de resposta a incidentes, que é atualizado regularmente. Seja transparente, mas não se antecipe aos fatos. A análise forense de dados geralmente leva tempo, por isso é importante comunicar apenas fatos confirmados e reconhecer que a situação é instável e pode mudar. Para minimizar o impacto, proteger e potencialmente melhorar a reputação da marca, há várias considerações a serem lembradas:

• Percepção: muitas vezes, a percepção é que uma empresa ou organização é responsável, mesmo que não seja culpada pela violação de dados. As partes interessadas podem perdoá-lo por falhas de segurança, azar ou até mesmo ambos. Mas tentar desviar a culpa pode sair pela culatra. As pessoas afetadas pelo acidente veem a situação de forma simples: elas confiaram suas informações a você e você as perdeu.
• Controle: Você(a empresa ou organização) pode não ter controle sobre o momento da divulgação. Existem muitos fatores que podem acelerar sua resposta. Por exemplo, países e estados dos EUA têm diferentes requisitos de divulgação. O ciclo da mídia ou comentários nas redes sociais também podem forçar isso. Hackers vazam informações confidenciais para a web, que são então captadas por repórteres e blogueiros de segurança cibernética. Os funcionários também podem inadvertidamente vazar informações confidenciais, agravando o problema.
• Obrigação: As empresase organizações podem ter obrigações contratuais de divulgar o incidente. Cada vez mais, os contratos com fornecedores e parceiros incluem cláusulas que exigem que as empresas divulguem uma violação, independentemente dos requisitos regulamentares. Se a empresa for pública, pode haver um impacto significativo e considerações relacionadas que precisam ser levadas em conta, além das divulgações regulamentares.
• Comunicação: Nemtodos os incidentes exigem uma comunicação proativa de toda a situação para todos os públicos. A decisão de ser proativo ou reativo e com quais públicos é sutil e não existe um modelo único que sirva para todos. Mesmo que não existam requisitos contratuais ou regulamentares, as empresas podem ter uma obrigação ética de divulgar — muitas vezes motivada pelo alcance da violação e pela probabilidade de ela se tornar pública. (Dica profissional: é sempre melhor que seus stakeholders ouçam você do que descubram pela primeira vez na mídia. Isso mostra que você leva a sério a proteção das informações deles.)
• Valores:Baseie semprea resposta da empresa nos valores empresariais. O que a sua empresa representa e o que os seus stakeholders esperam dela? Veja a situação através dos olhos deles e responda em conformidade.

O aumento alarmante de incidentes de segurança cibernética no último ano, bem como o número de violações amplamente divulgadas, ressalta que nunca houve um momento mais importante para se preparar. Com mais organizações e empresas buscando um modelo híbrido de trabalho, o risco de violação de dados só continua a aumentar. Os agentes de ameaças verão uma oportunidade com uma força de trabalho remota — e devemos esperar que eles continuem a evoluir e adaptar suas operações ao novo normal.

Priorizar o planejamento da segurança cibernética agora ajudará a garantir que sua organização esteja preparada caso ocorra um incidente — porque não é uma questão de “se”, mas de “quando” um ataque cibernético ocorrerá.

Baixe uma cópia deste destaqueaqui.

Sobre nossos autores convidados, Sean Wood e Katherine Goodyear:

Sean Wood é vice-presidente executivo da área de crises e questões globais da Weber Shandwick, ajudando os clientes a proteger sua reputação em situações de alto risco há mais de 25 anos. Sean traz uma perspectiva corporativa e de reputação de marca para a gestão de crises e questões, a fim de ajudar os líderes empresariais a lidar com situações complexas por meio de estratégias integradas para mitigar riscos.

Katherine Goodyear é diretora da área de crises e questões da Weber Shandwick em Nova Iorque. Katherine aconselha os clientes nas questões mais complexas e delicadas para proteger a sua reputação. Ela fornece uma gama completa de apoio em comunicação de crise, ajudando os clientes a lidar com incidentes de cibersegurança.