Em destaque: Quando um ciberataque ataca: Proteger e reparar a reputação da marca

13 de dezembro de 2021

Partilhar no LinkedIn Partilhar no Facebook Partilhar no X

Por autores convidados: Sean Wood e Katherine Goodyear

Bem-vindo à mais recente edição do Spotlight. Spotlight é a nossa forma de partilhar ideias e perspectivas dos nossos parceiros estratégicos - advogados, seguradoras, gestores de risco e especialistas em comunicação de crises de todos os sectores - sobre questões que têm o potencial de influenciar a visão de uma empresa sobre incidentes no mercado e gestão de crises.

Nesta edição, Sean Wood, vice-presidente executivo, e Katherine Goodyear, directora de contas da Weber Shandwick, juntam-se a nós para apresentar uma visão geral das comunicações sobre cibersegurança. Exploramos o que as empresas devem fazer para planear um incidente e as medidas práticas que devem tomar para melhor minimizar o impacto, proteger e melhorar a reputação da marca, caso ocorra um incidente.

Prefácio de Chris Harvey, vice-presidente sênior de serviços ao cliente da Sedgwick:

Continue a ler para obter mais informações de Sean Wood e Katherine Goodyear.

Os incidentes de cibersegurança contam-se entre as ameaças mais graves para a atividade e a reputação das empresas e podem rapidamente minar a confiança dos principais intervenientes, desde os clientes aos funcionários e ao público em geral. Para além disso, são difíceis de resolver, dispendiosos e estão a crescer rapidamente.

Prevê-se que a cibercriminalidade custe aproximadamente 6 biliões de dólares em danos a nível global em 2021, o dobro de 2015 - e os ataques de ransomware aumentaram 151% no primeiro semestre de 2021, em comparação com o ano de 2020. O aumento consistente destes incidentes, a sua sofisticação e o seu potencial impacto operacional e financeiro sublinha a importância de as empresas de todos os sectores estarem preparadas.

De facto, um inquérito global recente realizado pela KRC Research e pela Weber Shandwick a executivos de 12 países revelou que a cibersegurança e a privacidade dos dados são as duas principais preocupações dos executivos quando tomam decisões empresariais importantes.

Adiantar-se planeando com antecedência

Embora as pessoas compreendam que os incidentes de cibersegurança acontecem, julgam frequentemente as empresas e organizações pela forma como respondem - e responsabilizam-nas quando a informação é exposta ou utilizada indevidamente. Por este motivo, a prioridade número um da empresa deve ser a implementação de um plano de pré-incidente que lhe permita responder rapidamente a um ataque.

Não só este planeamento é a coisa certa a fazer para proteger informações pessoais e comerciais sensíveis e a reputação da marca, como também os clientes, as seguradoras e o governo estão a sublinhar a importância de reforçar os planos de resposta a incidentes. Recentemente, o Presidente dos Estados Unidos, Joe Biden, organizou uma reunião em que descreveu a cibersegurança como um "desafio fundamental para a segurança nacional" e apelou ao sector privado para que reforçasse a cibersegurança do país em parceria e individualmente, com ênfase na resolução da escassez de competências em cibersegurança. Na sequência das reuniões da Iniciativa de Combate ao Ransomware realizadas em outubro pelo Conselho de Segurança Nacional da Casa Branca, mais de 30 países e a União Europeia emitiram uma declaração conjunta de cooperação para melhorar a resiliência nacional, combater o financiamento ilícito, desmantelar os criminosos de ransomware e utilizar a diplomacia como uma ferramenta para combater o ransomware.

Neste caso, planeamento significa:

  • Desenvolver ou atualizar um plano de resposta a incidentes. Abrangendo tanto as respostas operacionais como as comunicações, estes planos devem ser integrados e definir quem tem de ser envolvido, funções e responsabilidades, níveis e limiares de risco e indicar um processo para comunicações rápidas às partes interessadas afectadas.
  • Estabelecer um planeamento de cenários para potenciais riscos e incidentes. O plano de cenários deve incluir considerações e orientações específicas da situação, bem como modelos de mensagens para as partes interessadas que possam ser rapidamente actualizados com os factos da situação real, caso surja um incidente.
  • Testar o plano. A realização de exercícios de simulação realistas é uma parte importante do processo de planeamento e preparação para testar a capacidade da organização para funcionar de acordo com o plano e os protocolos. Também identificará lacunas nos processos que precisam de ser corrigidas antes da ocorrência de um evento real.
  • Investir antecipadamente. Algumas organizações podem sentir-se incapazes de investir antecipadamente para ter um centro de atendimento telefónico de contingência ou outras soluções, mas esta é a melhor forma de evitar estar desprevenido. Este investimento pode incluir a criação de um call center de notificação de perdas/resposta a violações. Também pode envolver um centro de informações secundário, alojado separadamente ou um microsite, que pode ser ativado rapidamente para comunicar com as partes interessadas através de canais alternativos no caso de perder o acesso aos seus sistemas.

Agora, quando ocorre um incidente, a sua empresa ou organização está mais bem preparada para gerir a situação, ativar o plano em vigor e concentrar-se na redução de qualquer risco.

Implementação do plano

Quando ocorre um incidente, a empresa deve começar imediatamente a ativar o seu plano de resposta a incidentes atualizado regularmente. Seja transparente, mas não se antecipe aos factos. A análise forense dos dados demora frequentemente algum tempo, pelo que é importante comunicar apenas os factos confirmados e reconhecer que a situação é fluida e pode mudar. Para minimizar o impacto, proteger e potencialmente melhorar a reputação da marca, há várias considerações a ter em conta:

  • Perceção: Muitas vezes, a perceção é de que uma empresa ou organização é responsável, mesmo que não seja responsável pelos dados violados. As partes interessadas podem e irão perdoá-lo por lapsos de segurança, má sorte ou mesmo ambos. Mas a tentativa de desviar a culpa pode sair pela culatra. As pessoas afectadas pelo acidente vêem-no de forma simples: Confiaram-lhe as suas informações e você perdeu-as.
  • Controlo: Você (a empresa ou organização) pode não ter o controlo do momento da divulgação. Existem muitos factores que podem acelerar a sua resposta. Por exemplo, os países e os estados dos EUA têm diferentes requisitos de divulgação. O ciclo dos media ou os comentários nas redes sociais também podem forçá-lo. Os piratas informáticos divulgam informações confidenciais na Web, que são depois recolhidas por repórteres e bloggers de cibersegurança. Os funcionários também podem divulgar inadvertidamente informações sensíveis, aumentando o problema.
  • Obrigação: As empresas e organizações podem ter obrigações contratuais para divulgar o incidente. Cada vez mais, os contratos com fornecedores e parceiros incluem cláusulas que exigem que as empresas divulguem uma violação, independentemente dos requisitos regulamentares. Se a empresa for pública, pode haver um impacto material e considerações relacionadas que têm de ser tidas em conta, para além das divulgações regulamentares.
  • Comunicação: Nem todos os incidentes exigem uma comunicação proactiva de toda a situação a todos os públicos. A decisão de ser proactivo ou reativo e com que audiências é matizada e não é um modelo único para todos. Mesmo que não existam requisitos contratuais ou regulamentares, as empresas podem ter um requisito ético de divulgação - muitas vezes motivado pelo âmbito da violação e pela probabilidade de esta se tornar pública. (Dica profissional: é sempre melhor para as partes interessadas saberem por si do que saberem pela primeira vez através dos meios de comunicação social. Isso mostra que leva a sério a proteção das suas informações).
  • Valores: Basear sempre a resposta empresarial em valores empresariais. O que defende enquanto empresa e o que esperam de si os seus accionistas? Veja a situação através dos seus olhos e responda em conformidade.

O aumento alarmante dos incidentes de cibersegurança no último ano, bem como o número de violações bem divulgadas, sublinha que nunca houve uma altura tão importante para se preparar. Com cada vez mais organizações e empresas a optarem por um modelo de trabalho híbrido, o risco de uma violação de dados continua a aumentar. Os agentes de ameaças verão uma oportunidade com uma força de trabalho remota - e devemos esperar que continuem a evoluir e a adaptar as suas operações ao novo normal.

Dar prioridade ao planeamento da cibersegurança agora ajudará a garantir que a sua organização está preparada na eventualidade de ocorrer um incidente - porque não é uma questão de "se", mas de "quando" ocorrerá um ciberataque.

Descarregue uma cópia deste destaque aqui.

Sobre os nossos autores convidados, Sean Wood e Katherine Goodyear:

Sean Wood é vice-presidente executivo da Weber Shandwick na área de crises e questões globais - ajudando os clientes a salvaguardar a sua reputação em situações de alto risco há mais de 25 anos. Sean traz uma lente de reputação corporativa e de marca para a gestão de crises e problemas para ajudar os líderes empresariais a lidar com situações complexas com estratégias integradas para mitigar o risco.

Katherine Goodyear é directora da área de crises e questões da Weber Shandwick em Nova Iorque. Katherine aconselha os clientes nas suas questões mais complexas e sensíveis para proteger a sua reputação. Ela fornece uma gama completa de suporte de comunicação de crise - ajudando os clientes a navegar em incidentes de segurança cibernética.

Tags: Proteção da marca, Conformidade, Crise, Cibernética, Risco cibernético, Responsabilidade, Recolha, Regulamentação, Alteração regulamentar + Conformidade, Risco, Segurança