Por autores convidados: Sean Wood e Katherine Goodyear
Bem-vindo à última edição do Spotlight. Spotlight é a nossa maneira de compartilhar percepções e perspectivas de nossos parceiros estratégicos - advogados, seguradoras, gerentes de risco e especialistas em comunicação de crises de todos os setores - sobre questões que têm o potencial de influenciar a visão de uma empresa sobre incidentes no mercado e gerenciamento de crises.
Nesta edição, Sean Wood, vice-presidente executivo, e Katherine Goodyear, diretora de contas da Weber Shandwick, nos acompanham em uma visão geral das comunicações sobre segurança cibernética. Exploramos o que as empresas devem fazer para se planejar para um incidente e as medidas práticas que devem ser tomadas para minimizar o impacto, proteger e melhorar a reputação da marca caso ocorra um incidente.
Prefácio de Chris Harvey, vice-presidente sênior de serviços ao cliente da Sedgwick:
Continue lendo para obter mais informações de Sean Wood e Katherine Goodyear.
Os incidentes de segurança cibernética estão entre as ameaças mais sérias aos negócios e à reputação enfrentadas pelas empresas e podem rapidamente corroer a confiança das principais partes interessadas, desde clientes e funcionários até o público em geral. Além disso, eles são difíceis de resolver, caros e estão crescendo rapidamente.
Espera-se que o crime cibernético custe aproximadamente US$ 6 trilhões em danos em todo o mundo em 2021, o que representa um aumento de duas vezes em relação a 2015 - e os ataques de ransomware aumentaram 151% no primeiro semestre de 2021, em comparação com o ano inteiro de 2020. O aumento consistente desses incidentes, sua sofisticação e seu possível impacto operacional e financeiro ressaltam a importância de as empresas de todos os setores estarem preparadas.
De fato, uma recente pesquisa global realizada pela KRC Research e pela Weber Shandwick com executivos de 12 países revelou que a segurança cibernética e a privacidade dos dados são as duas principais preocupações dos executivos ao tomarem decisões comerciais importantes.
Planejando com antecedência
Embora as pessoas entendam que incidentes de segurança cibernética acontecem, elas geralmente julgam as empresas e organizações pela forma como respondem - e as responsabilizam quando as informações são expostas ou usadas indevidamente. Por esse motivo, a prioridade número um da empresa deve ser a implementação de um plano pré-incidente para permitir que a empresa responda rapidamente a um ataque.
Esse planejamento não é apenas a coisa certa a fazer para proteger informações pessoais e comerciais confidenciais e a reputação da marca, mas os clientes, as seguradoras e o governo estão ressaltando a importância de fortalecer os planos de resposta a incidentes. Recentemente, o presidente dos Estados Unidos, Joe Biden, realizou uma reunião em que descreveu a segurança cibernética como um "desafio central de segurança nacional" e pediu que o setor privado reforçasse a segurança cibernética do país em parceria e individualmente, com ênfase na solução da escassez de habilidades em segurança cibernética. Após as reuniões da Iniciativa de Combate ao Ransomware realizadas em outubro pelo Conselho de Segurança Nacional da Casa Branca, mais de 30 países e a União Europeia emitiram uma declaração conjunta de cooperação para melhorar a resiliência nacional, combater o financiamento ilícito, interromper os criminosos de ransomware e utilizar a diplomacia como uma ferramenta para combater o ransomware.
Nesse caso, planejamento significa:
- Desenvolver ou atualizar um plano de resposta a incidentes. Abrangendo respostas operacionais e de comunicação, esses planos devem ser integrados e descrever quem precisa estar envolvido, funções e responsabilidades, níveis e limites de risco e indicar um processo de comunicação rápida com as partes interessadas afetadas.
- Estabelecer o planejamento de cenários para possíveis riscos e incidentes. O plano de cenário deve incluir considerações e orientações específicas da situação, bem como modelos de mensagens para as partes interessadas que possam ser rapidamente atualizados com os fatos da situação real, caso ocorra um incidente.
- Testar o plano. A realização de simulações realistas é uma parte importante do processo de planejamento e preparação para testar a capacidade da organização de funcionar de acordo com o plano e os protocolos. Isso também identificará lacunas nos processos que precisam ser corrigidas antes da ocorrência de um evento real.
- Investir com antecedência. Algumas organizações podem achar que não têm condições de investir antecipadamente para ter uma central de atendimento de contingência ou outras soluções, mas essa é a melhor maneira de evitar o despreparo. Esse investimento pode incluir a implementação de uma central de atendimento para notificação de perdas/resposta a violações. Também pode envolver um hub ou microsite de informações secundário, hospedado separadamente, que possa ser ativado rapidamente para se comunicar com as partes interessadas por meio de canais alternativos, caso você perca o acesso aos seus sistemas.
Agora, quando ocorrer um incidente, sua empresa ou organização estará mais bem preparada para gerenciar a situação, ativar o plano em vigor e concentrar-se na mitigação de qualquer risco.
Implementação do plano
Quando ocorre um incidente, a empresa deve começar imediatamente a ativar seu plano de resposta a incidentes atualizado regularmente. Seja transparente, mas não se antecipe aos fatos. A perícia de dados geralmente leva tempo, por isso é importante comunicar apenas os fatos confirmados e reconhecer que a situação é fluida e pode mudar. Para minimizar o impacto, proteger e potencialmente melhorar a reputação da marca, há várias considerações que devem ser levadas em conta:
- Percepção: Muitas vezes, a percepção é de que uma empresa ou organização é responsável, mesmo que não seja responsável pelos dados violados. As partes interessadas podem e irão perdoá-lo por lapsos de segurança, má sorte ou até mesmo ambos. Mas a tentativa de desviar a culpa pode ser um tiro pela culatra. As pessoas afetadas pelo acidente veem isso de forma simples: Eles confiaram suas informações a você e você as perdeu.
- Controle: Você (a empresa ou organização) pode não ter controle sobre o tempo de divulgação. Há muitos fatores que podem acelerar sua resposta. Por exemplo, países e estados dos EUA têm diferentes requisitos de divulgação. O ciclo da mídia ou os comentários nas redes sociais também podem forçá-lo. Os hackers vazam informações confidenciais para a Web, que depois são coletadas por repórteres e blogueiros de segurança cibernética. A equipe também pode vazar inadvertidamente informações confidenciais, aumentando o problema.
- Obrigação: As empresas e organizações podem ter obrigações contratuais de divulgar o incidente. Cada vez mais, os contratos com fornecedores e parceiros incluem cláusulas que exigem que as empresas divulguem uma violação, independentemente das exigências regulatórias. Se a empresa for pública, pode haver impacto material e considerações relacionadas que precisam ser levadas em conta, além das divulgações regulamentares.
- Comunicação: Nem todo incidente exige uma comunicação proativa de toda a situação para todos os públicos. A decisão de ser proativo ou reativo e com quais públicos é diferenciada e não é um modelo único para todos. Mesmo que não haja requisitos contratuais ou regulamentares, as empresas podem ter um requisito ético de divulgação, geralmente motivado pelo escopo da violação e pela probabilidade de ela se tornar pública. (Dica profissional: é sempre melhor para as partes interessadas saberem por você do que descobrir pela primeira vez na mídia. Fazer isso mostra que você leva a sério a proteção das informações deles).
- Valores: Sempre baseie a resposta comercial em valores comerciais. O que você defende como empresa e o que as partes interessadas esperam de você? Veja a situação pelos olhos deles e responda de acordo.
O aumento alarmante dos incidentes de segurança cibernética no último ano, bem como o número de violações bem divulgadas, ressalta que nunca houve um momento tão importante para se preparar. Com mais organizações e empresas buscando um modelo híbrido de trabalho, o risco de uma violação de dados continua a aumentar. Os agentes de ameaças verão uma oportunidade com uma força de trabalho remota - e devemos esperar que eles continuem a evoluir e a adaptar suas operações ao novo normal.
Priorizar o planejamento da segurança cibernética agora ajudará a garantir que a sua organização esteja preparada caso ocorra um incidente, pois não se trata de uma questão de "se", mas de "quando" ocorrerá um ataque cibernético.
Faça o download de uma cópia desse recurso em destaque aqui.
Sobre nossos autores convidados, Sean Wood e Katherine Goodyear:
Sean Wood é vice-presidente executivo da prática global de crises e problemas da Weber Shandwick, ajudando os clientes a proteger suas reputações em situações de alto risco há mais de 25 anos. Sean traz uma lente de reputação corporativa e de marca para o gerenciamento de crises e problemas para ajudar os líderes empresariais a lidar com situações complexas com estratégias integradas para reduzir os riscos.
Katherine Goodyear é diretora da prática de crises e problemas da Weber Shandwick na cidade de Nova York. Katherine aconselha os clientes em suas questões mais complexas e sensíveis para proteger sua reputação. Ela fornece uma gama completa de suporte de comunicações de crise, ajudando os clientes a lidar com incidentes de segurança cibernética.
Tags: Proteção da marca, Conformidade, Crise, cibernética, Risco cibernético, Responsabilidade, recall, regulamentação, Mudança regulatória + Conformidade, Risco, Segurança