Fazer um plano de comunicação nem sempre está no radar do time de segurança.
Em suma, um CISO de uma empresa, muitas vezes, atua focado na estruturação técnica para que o negócio seja resiliente. Como investir na capacitação do time, adquirir tecnologias de ponta e estruturar os processos de segurança para garantir que tudo esteja aderente às melhores práticas de mercado. Práticas que deixam a empresa apta a responder assertivamente a um incidente de segurança.
Mas, não basta pensar na resposta técnica. Tão importante quanto responder a um incidente é comunicar todos os stakeholders sobre o evento.
Durante um incidente, as organizações tendem a priorizar o planejamento técnico, resumindo a comunicação a uma etapa secundária. Contudo, informar de forma eficaz funcionários, partes interessadas, clientes, órgãos reguladores e mídia molda como uma organização é percebida em situações de crise. E isso precisa ser feito com estratégia não só na identificação do incidente, mas durante o tratamento e depois que ele tiver sido respondido.
O plano de comunicação ajuda a mitigar o risco de imagem e reputação. Informar mal traz impacto no valor de mercado da organização, podendo levar a conflitos legais e regulatórios, sanções e repercussão negativa na imprensa, o que certamente irá abalar a confiança de clientes.
Então, tenha um plano de comunicação de incidente cibernético estruturado.
A elaboração envolve muitas etapas. Aqui, trouxemos algumas das mais importantes a serem consideradas.
1) Planeje a comunicação com antecedência
Ninguém pode prever o momento exato e a origem de um incidente cibernético. Mas, ter um passo a passo de como comunicar o evento quando ele acontecer, contribui para reduzir o impacto, principalmente o reputacional.
2) Mapeie as partes interessadas que devem ser comunicadas
Conhecer as partes interessadas previamente é fundamental para a empresa poder preparar uma comunicação direcionada, com informações adequadas e customizadas para cada entidade. Importante também considerar, como partes interessadas, os colaboradores e conselheiros da empresa.
3) Comece descrevendo funções, responsabilidades e protocolos de comunicação
Elabore modelos pré-aprovados para vários cenários, incluindo solicitações de veículos de imprensa, atualizações internas, reportes legais e regulatórios e notificações para clientes. Os modelos devem ser adaptáveis a diferentes tipos e severidade do incidente.
4) Defina procedimentos claros para notificar as partes interessadas no plano de comunicação
Assertividade é outro fator crítico para o sucesso na comunicação, por isso ter procedimentos claros e objetivos para notificar as partes interessadas trará benefícios para a empresa durante a ocorrência do incidente
5) Identifique pessoas na empresa que podem atuar como porta-vozes
A empresa deve nomear porta-vozes pois assim terá um canal estruturado de como as informações vêm a público. Isso evita as famosas fake news. Nada impede de a empresa nomear mais de um porta-voz, afinal, as informações podem variar de teor para cada stakeholder. Quem for escolhido, deve ser treinado para lidar com essa situação.
A empresa também precisa informar todos os colaboradores para que eles não divulguem informações a respeito do incidente a ninguém. Essa atribuição é exclusiva dos porta-vozes nomeados.
6) No plano de comunicação, prepare respostas para a imprensa com antecedência
Além de preparar uma declaração de mídia oficial, a empresa também pode desenvolver um documento de perguntas e respostas que aborde o que a mídia poderia perguntar se um incidente se tornasse público. Isso ajuda a manter a confiança das partes interessadas e combater possíveis danos à reputação.
7) Teste e revise seu plano de comunicação
Realize exercícios simulados regularmente, como por exemplo Tabletop Exercise, para testar a eficácia da estratégia e identificar pontos de melhoria. Isso também ajuda todos a entenderem seus papéis e responsabilidades durante a ocorrência de um incidente.
8) Revise e atualize regularmente a estratégia de comunicação corporativa
Mantenha sempre atualizada a estratégia de comunicação corporativa, embasada no apetite a risco da empresa, no seu plano estratégico, dentre outros fatores relevantes para o negócio.
Nas suas atualizações, não esqueça de avaliar as lições aprendidas absorvidas nos exercícios simulados, as mudanças no cenário de ameaças, nos requisitos legais e regulatórios para que os pontos importantes estejam refletidos na nova versão do documento.
O plano de comunicação possui outras etapas que consideram o ambiente interno e externo da empresa, mas aqui listamos algumas que podem apoiar você a começar a preparar um para a sua empresa.
Converse com um parceiro especializando para desenhar um plano de comunicação que atenda às especificidades do negócio. E claro, após um incidente, revise o documento e atualize a estratégia para refletir as melhorias que precisam ser implementadas.
Ter um plano de comunicação estruturado é o que irá garantir um nível adequado de transparência para o mercado e demais stakeholders, e minimizar os impactos na imagem e reputação na ocorrência de um incidente cibernético.
Clóvis Bednar Reigota – gerente de GRC
