Enquanto CISO de uma empresa, você está fazendo seu papel, investindo na capacitação do time, adquirindo tecnologia de ponta e estruturando os processos de segurança para garantir que tudo esteja aderente às melhores práticas de mercado.
Práticas que deixam a empresa apta a responder assertivamente a um incidente de segurança.
Mas, não basta pensar na resposta técnica. Tão importante quanto responder a um incidente é comunicar todos os stakeholders sobre o evento.
Durante um incidente, as organizações costumam priorizar o planejamento técnico e reduzir a comunicação a uma etapa secundária. Mas, informar de forma eficaz funcionários, partes interessadas, clientes, órgãos reguladores e mídia molda como uma organização é percebida em situações de crise. E isso precisa ser feito com estratégia não só na identificação do incidente, mas durante o tratamento e depois que ele tiver sido respondido.
O plano de comunicação ajuda a mitigar o risco de imagem e reputação. Informar mal traz impacto no valor de mercado da organização, podendo levar a conflitos legais e regulatórios, sanções e repercussão negativa na imprensa, o que certamente irá abalar a confiança de clientes.
Então, tenha um plano de comunicação de incidente cibernético estruturado.
A elaboração envolve muitas etapas. Aqui, trouxemos algumas das mais importantes a serem consideradas.
1) Prepare a comunicação com antecedência
Ninguém pode prever o momento exato e a origem de um incidente cibernético. Mas, ter um passo a passo de como comunicar o evento quando ele acontecer, contribui para reduzir o impacto, principalmente o reputacional.
2) Mapeie as partes interessadas que devem ser comunicadas
Conhecer as partes interessadas previamente é fundamental para a empresa poder preparar uma comunicação direcionada, com informações adequadas e customizadas para cada entidade. Importante também considerar, como partes interessadas, os colaboradores e conselheiros da empresa.
3) Comece descrevendo funções, responsabilidades e protocolos de comunicação
Elabore modelos pré-aprovados para vários cenários, incluindo solicitações de veículos de imprensa, atualizações internas, reportes legais e regulatórios e notificações para clientes. Os modelos devem ser adaptáveis a diferentes tipos e severidade do incidente.
4) Defina procedimentos claros para notificar as partes interessadas
Assertividade é outro fator crítico para o sucesso na comunicação, por isso ter procedimentos claros e objetivos para notificar as partes interessadas trará benefícios para a empresa durante a ocorrência do incidente
5) Identifique pessoas na empresa que podem atuar como porta-vozes
Nomear porta-vozes permitirá à empresa ter um canal estruturado de como as informações vêm a público, evitando as famosas fake news. Nada impede de a empresa nomear mais de um porta-voz, pois as informações podem variar de teor para cada stakeholder. As pessoas escolhidas precisam ser treinadas para lidar com essa situação.
Como ponto de extrema importância, vale citar que todos os colaboradores devem ser informados de não divulgarem informações sobre o incidente para ninguém, pois essa atribuição é exclusiva dos porta-vozes nomeados.
6) Prepare respostas para a imprensa com antecedência
Além de preparar uma declaração de mídia oficial, a empresa também pode desenvolver um documento de perguntas e respostas que aborde o que a mídia poderia perguntar se um incidente se tornasse público. Isso ajuda a manter a confiança das partes interessadas e combater possíveis danos à reputação.
7) Teste e revise seu plano
Realize exercícios simulados regularmente, como por exemplo Tabletop Exercise, para testar a eficácia da estratégia e identificar pontos de melhoria. Isso também ajuda todos a entenderem seus papéis e responsabilidades durante a ocorrência de um incidente.
8) Revise e atualize regularmente a estratégia de comunicação corporativa
Mantenha sempre atualizada a estratégia de comunicação corporativa, embasada no apetite a risco da empresa, no seu plano estratégico, dentre outros fatores relevantes para o negócio.
Nas suas atualizações, importante avaliar as lições aprendidas absorvidas nos exercícios simulados, as mudanças no cenário de ameaças, nos requisitos legais e regulatórios para que os pontos importantes estejam refletidos na nova versão do documento.
O plano de comunicação possui outras etapas que consideram o ambiente interno e externo da empresa, mas aqui listamos algumas que podem apoiar você a começar a preparar um para a sua empresa.
Para desenhá-lo de forma que atenda às especificidades do negócio, converse com um parceiro especializado. E claro, após um incidente, revise o documento e atualize a estratégia para refletir as melhorias que precisam ser implementadas.
Ter um plano de comunicação estruturado é o que irá garantir um nível adequado de transparência para o mercado e demais stakeholders, e minimizar os impactos na imagem e reputação na ocorrência de um incidente cibernético.
Clóvis Bednar Reigota – gerente de GRC
