Em destaque: Quando um ciberataque ataca: Proteger e reparar a reputação da marca

Por autores convidados: Sean Wood e Katherine Goodyear

Bem-vindo à última edição do Spotlight. O Spotlight é a nossa forma de partilhar insights e perspetivas dos nossos parceiros estratégicos – advogados, seguradoras, gestores de risco e especialistas em comunicação de crise de diversos setores – sobre questões que podem influenciar a visão de uma empresa sobre incidentes no mercado e gestão de crises.

Nesta edição, recebemos Sean Wood, vice-presidente executivo, e Katherine Goodyear, diretora de contas daWeber Shandwick, para uma visão geral das comunicações sobre segurança cibernética. Exploramos o que as empresas devem fazer para se preparar para um incidente e as medidas práticas que devem tomar para minimizar o impacto, proteger e melhorar a reputação da marca, caso ocorra um incidente.

Prefácio de Chris Harvey, vice-presidente sênior de atendimento ao cliente da Sedgwick:

Continue a ler para saber mais sobre as opiniões de Sean Wood e Katherine Goodyear.

Os incidentes de cibersegurança estão entre as ameaças mais graves para os negócios e a reputação das empresas e podem rapidamente minar a confiança das principais partes interessadas — desde clientes e funcionários até o público em geral. Além disso, são difíceis de resolver, dispendiosos e estão a crescer rapidamente.

Estima-se queo cibercrimecausará prejuízos de aproximadamente US$ 6 trilhões em todo o mundoem 2021, o dobro do valor registrado em 2015 — eos ataques de ransomware aumentaram 151%no primeiro semestre de 2021, em comparação com o ano inteiro de 2020. O aumento consistente desses incidentes, sua sofisticação e seu potencial impacto operacional e financeiro ressaltam a importância de as empresas de todos os setores estarem preparadas.

De facto, umapesquisa globalrecente realizada pelaKRC ResearcheWeber Shandwickcom executivos de 12 países revelou que a segurança cibernética e a privacidade de dados são as duas principais preocupações dos executivos ao tomar decisões comerciais importantes.

Avançar através do planeamento antecipado

Embora as pessoas compreendam que incidentes de cibersegurança acontecem, elas frequentemente julgam as empresas e organizações pela forma como respondem — e as responsabilizam quando as informações são expostas ou utilizadas indevidamente. Por esse motivo, a prioridade número um da empresa deve ser implementar um plano pré-incidente para permitir que a empresa responda rapidamente a um ataque.

Este planeamento não é apenas a medida certa a tomar para proteger informações pessoais e comerciais confidenciais e a reputação da marca, mas também os clientes, as seguradoras e o governo estão a sublinhar a importância de reforçar os planos de resposta a incidentes. Recentemente, o presidente dos Estados Unidos, Joe Biden, realizou umareuniãona qual descreveu a cibersegurança como um «desafio fundamental para a segurança nacional» e apelou ao setor privado para que reforçasse a cibersegurança do país em parceria e individualmente, com ênfase na resolução da escassez de competências em cibersegurança. Após as reuniões da Iniciativa Contra o Ransomware realizadas em outubro pelo Conselho de Segurança Nacional da Casa Branca, mais de 30 países e a União Europeia emitiram umadeclaração conjuntade cooperação para melhorar a resiliência nacional, combater o financiamento ilícito, interromper os criminosos de ransomware e utilizar a diplomacia como ferramenta para combater o ransomware.

Neste caso, planeamento significa:

• Desenvolver ou atualizar um plano de resposta a incidentes. Abrangendorespostas operacionais e de comunicação, esses planos devem ser integrados e descrever quem precisa estar envolvido, funções e responsabilidades, níveis e limites de risco, além de indicar um processo para comunicação rápida às partes interessadas afetadas.
• Estabelecer um plano de cenários para riscos e incidentes potenciais.O plano de cenários deve incluir considerações e orientações específicas para cada situação, bem como modelos de mensagens para as partes interessadas que possam ser rapidamente atualizados com os factos da situação real, caso ocorra um incidente.
• Testar o plano.Realizar exercícios de simulação realistas é uma parte importante do processo de planeamento e preparação para testar a capacidade da organização de funcionar de acordo com o plano e os protocolos. Também identificará lacunas nos processos que precisam ser corrigidas antes que um evento real ocorra.
• Investir antecipadamente.Algumas organizações podem sentir que não têm condições de investir antecipadamente na criação de um call center de contingência ou outras soluções, mas essa é a melhor maneira de evitar a falta de preparação. Esse investimento pode incluir a criação de um call center para notificação de perdas/resposta a violações. Também pode envolver um hub de informações secundário, hospedado separadamente, ou um microsite, que pode ser ativado rapidamente para comunicar-se com as partes interessadas por meio de canais alternativos, caso você perca o acesso aos seus sistemas.

Agora, quando ocorrer um incidente, a sua empresa ou organização estará mais bem preparada para gerir a situação, ativar o plano em vigor e concentrar-se na mitigação de quaisquer riscos.

Implementação do plano

Quando ocorre um incidente, a empresa deve imediatamente ativar o seu plano de resposta a incidentes, que é atualizado regularmente. Seja transparente, mas não se antecipe aos factos. A análise forense de dados geralmente leva tempo, por isso é importante comunicar apenas factos confirmados e reconhecer que a situação é instável e pode mudar. Para minimizar o impacto, proteger e potencialmente melhorar a reputação da marca, há várias considerações a ter em mente:

• Percepção: Muitas vezes, a percepção é que uma empresa ou organização é responsável, mesmo que não seja culpada pela violação de dados. As partes interessadas podem perdoá-lo por falhas de segurança, azar ou até mesmo ambos. Mas tentar desviar a culpa pode sair pela culatra. As pessoas afetadas pelo incidente veem a situação de forma simples: elas confiaram as suas informações a si e você as perdeu.
• Controlo: Você(a empresa ou organização) pode não ter controlo sobre o momento da divulgação. Existem muitos fatores que podem acelerar a sua resposta. Por exemplo, os países e os estados dos EUA têm diferentes requisitos de divulgação. O ciclo da mídia ou os comentários nas redes sociais também podem forçar isso. Os hackers divulgam informações confidenciais na web, que são então captadas por repórteres e blogueiros de cibersegurança. Os funcionários também podem inadvertidamente divulgar informações confidenciais, agravando o problema.
• Obrigação: As empresase organizações podem ter obrigações contratuais de divulgar o incidente. Cada vez mais, os contratos com fornecedores e parceiros incluem cláusulas que exigem que as empresas divulguem uma violação, independentemente dos requisitos regulamentares. Se a empresa for pública, pode haver um impacto material e considerações relacionadas que precisam ser levadas em conta, além das divulgações regulamentares.
• Comunicação: Nemtodos os incidentes exigem uma comunicação proativa de toda a situação para todos os públicos. A decisão de ser proativo ou reativo e com quais públicos é sutil e não existe um modelo único que sirva para todos. Mesmo que não existam requisitos contratuais ou regulamentares, as empresas podem ter uma exigência ética de divulgar — muitas vezes motivada pelo âmbito da violação e pela probabilidade de ela se tornar pública. (Dica profissional: é sempre melhor que as partes interessadas ouçam de si do que descubram pela primeira vez na mídia. Isso mostra que leva a sério a proteção das informações delas.)
• Valores:Baseie semprea resposta da empresa nos valores empresariais. O que a sua empresa representa e o que os seus stakeholders esperam dela? Veja a situação através dos olhos deles e responda de acordo.

O aumento alarmante de incidentes de cibersegurança ao longo do último ano, bem como o número de violações amplamente divulgadas, ressalta que nunca houve um momento mais importante para se preparar. Com mais organizações e empresas a adotarem um modelo híbrido de trabalho, o risco de violação de dados só continua a aumentar. Os agentes de ameaças verão uma oportunidade com uma força de trabalho remota — e devemos esperar que eles continuem a evoluir e a adaptar as suas operações ao novo normal.

Priorizar o planeamento da cibersegurança agora ajudará a garantir que a sua organização esteja preparada caso ocorra um incidente — porque não é uma questão de «se», mas sim de «quando» um ciberataque ocorrerá.

Descarregue uma cópia deste destaque aqui.

Sobre os nossos autores convidados, Sean Wood e Katherine Goodyear:

Sean Wood é vice-presidente executivo da área de crise e questões globais da Weber Shandwick, ajudando os clientes a proteger a sua reputação em situações de alto risco há mais de 25 anos. Sean traz uma perspetiva corporativa e de reputação de marca para a gestão de crises e questões, a fim de ajudar os líderes empresariais a lidar com situações complexas com estratégias integradas para mitigar riscos.

Katherine Goodyear é diretora da área de crise e questões da Weber Shandwick em Nova Iorque. Katherine aconselha os clientes nas questões mais complexas e delicadas para proteger a sua reputação. Ela oferece uma gama completa de apoio em comunicação de crise, ajudando os clientes a lidar com incidentes de cibersegurança.