Qual seria sua reação ao descobrir por fontes externas que sua empresa foi alvo de um ataque cibernético? E se os sistemas fossem derrubados porque um cibercriminoso pede resgate de R$ 1 milhão pelos dados críticos roubados da companhia? Você estaria preparado para lidar com esse cenário? Saberia como comunicar esse incidente? Teria um plano de comunicação para tratar desse problema?
Nesta última questão encontra-se o maior erro que vejo as empresas cometerem: não ter um plano de comunicação de crise estabelecido. Aliás, um recente estudo do MIT em parceria com a FireEye e a Hewlett Packard Enterprise, conduzido com 225 empresas, apontou que 44% delas não têm em plano de comunicação de crise em vigor, e 15% desconhecem a existência dele na companhia.
Outro grande erro é deter um plano, porém focado apenas em outras emergências que não contemplam o ciberespaço, como incêndios e desastres naturais, por exemplo. Ciberataque é um assunto muito delicado para se discutir com o público, pois existem diversos cenários e a empresa precisa ter certeza de quem é o inimigo e o risco que está enfrentando. Os cibercriminosos podem ter conseguido acesso aos dados de funcionários, clientes e até de propriedade intelectual da empresa.
Geralmente os ciberataques são reportados por terceiros, surpreendendo as empresas vítimas. 53% dos incidentes que a Mandiant (companhia pertencente ao grupo FireEye) gerenciou em 2015 foram descobertos por fontes externas, o que coloca a empresa numa situação reativa e com muitas incertezas.
As brechas de segurança também costumam ocorrer por longos períodos; em 2015, por exemplo, o tempo médio em que os cibercriminosos permaneceram na rede da vítima sem serem detectados foi de 146 dias, de acordo com o relatório M-Trends 2016. Essa demora em detectar a invasão torna ainda mais difícil o gerenciamento de crise e como explicar o que aconteceu para os diversos públicos afetados.
Os acionistas, clientes, funcionários, parceiros, partes afetadas e mídia não só precisam, como devem ser comunicados. Certifique-se de que irão receber a mensagem de que a empresa está resolvendo o incidente e protegendo os dados, e dê atualizações sempre que houver novas informações para compartilhar. Lembre-se de filtrá-las, reportando apenas o que realmente interessa, e não todos os detalhes do ataque.
Em um momento delicado como este é crucial contar com o envolvimento dos líderes, pois um ciberataque não é responsabilidade apenas da equipe de TI, mas, sim, um problema de toda a empresa. E as partes envolvidas querem ouvir um posicionamento vindo da diretoria.
Para a construção de um plano de comunicação efetivo, são válidas algumas recomendações:
- Estabeleça o time de comunicação de crise. Selecione os profissionais de comunicação, do departamento legal, do time de TI e da diretoria que estarão envolvidos no momento. Dependendo do incidente, considere trazer profissionais especializados para ajudar internamente;
- Se a sua empresa não conta com recursos internos para a construção, constante atualização e execução de tal plano, busque por parceiros que tenham experiência nessa área. Eles vão desenvolver com você, ou para você, um plano de resposta à crises bem pensado, com diferentes cenários. Caso o temido momento de crise venha a acontecer, seus porta-vozes saberão o que e como comunicar;
- Garanta uma mensagem unificada. Certifique-se de que todos os porta-vozes sejam igualmente treinados e disponham das mesmas informações. É importante que eles tenham recebido media training antes da crise;
- Disponibilize canais de comunicação. Caso a crise se torne pública, providencie um website o mais rápido possível e o alimente com informações úteis. Disponibilize também canais de atendimento onde os diversos públicos- de acionistas à imprensa -, possam fazer perguntas ou enviar informações;
- A prática leva à perfeição. ‘Ensaie’ o plano de crise para diversos ciberataques com a equipe de comunicação e os porta-vozes da diretoria uma vez por trimestre.
* Vitor de Souza é vice-presidente global de comunicação da FireEye Inc.
