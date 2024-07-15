Comunicação de crises de cibersegurança: o que fazer

Os especialistas em cibersegurança dizem às organizações que a questão não é se elas serão alvo de um ciberataque, mas quando. Muitas vezes, o foco da preparação de resposta está nos aspectos técnicos, como impedir que a violação continue, recuperar dados e colocar a empresa novamente online. Embora essas tarefas sejam críticas, muitas organizações ignoram uma parte fundamental da preparação de resposta: a comunicação de crises.

Como a reputação de uma marca muitas vezes é um grande sucesso, um ataque cibernético pode afetar significativamente o sucesso e a receita futuros da empresa. No entanto, a comunicação de crises eficaz ajuda a aumentar a confiança do cliente na capacidade da sua empresa de recuperar e gerenciar o problema. Ao se preparar para a comunicação de crises antes de um incidente e depois seguir um plano sólido, você pode orientar sua organização através da tempestade.

Como planejar a comunicação de crises de cibersegurança

A comunicação de crises bem-sucedida começa bem antes do início de qualquer incidente de cibersegurança. Algumas empresas incluem a comunicação de crises de cibersegurança como parte de seu plano geral de recuperação de desastres, enquanto outras empresas têm um plano independente.

Melanie Ensign é fundadora e CEO da Discernible, um centro de excelência de comunicações multidisciplinar para equipes de segurança, privacidade e risco. Ensign afirma que muitas empresas relevam em segurança até que algo dê errado e, então, elas tentam ganhar o benefício da dúvida em um ambiente desfavorável.

"Quando trabalho com clientes, pergunto a eles: 'se algo acontecesse amanhã, o que você gostaria de poder dizer'? O que você gostaria que fosse verdade, que você pudesse dizer em resposta a esse incidente?" diz Ensign. "Eles me dizem como querem aparecer como empresa, quais valores e características querem expressar. Depois, trabalhamos para tornar todas essas coisas verdadeiras porque, se não for verdade, não podemos dizê-lo."

Aqui estão três chaves para construir a base necessária para gerenciar uma crise com sucesso.

1. Crie um comitê de comunicação de crises

Tenha uma equipe de funcionários responsável por colaborar em toda a organização e gerenciar todas as comunicações quando ocorrer um ataque. Isso garante que a comunicação não caia nas falhas e reduz a disseminação de desinformação. Crie uma equipe que inclua membros de toda a organização envolvidos em resposta cibernética, como jurídico, cibersegurança, gerenciamento geral e relações públicas.

2. Crie um plano de comunicação de crises

Depois que o comitê estiver reunido, uma das primeiras prioridades é detalhar todas as tarefas e determinar quem será o responsável por toda a comunicação após um incidente de cibersegurança. Ensign diz que é importante fazer com que todos os principais tomadores de decisão concordem com antecedência, ou eles provavelmente criarão seu próprio plano quando se sentirem desconfortáveis durante o incidente. Ela também diz que é essencial ter um plano para apresentar um playbook se um tomador de decisão importante estiver indisponível durante um ataque, então outro líder poderá substituí-lo com facilidade.

Como os ataques cibernéticos podem envolver muitos esquemas diferentes, de ransomware a violações de dados, o plano deve identificar o maior número possível de cenários e, em seguida, detalhar um rascunho apropriado para cada um deles. O plano também deve incluir pontos de comunicação com outros departamentos, bem como os canais utilizados, incluindo e-mail, site e redes sociais.

"Você precisa ser capaz de demonstrar aos reguladores que tinha um plano e que o seguiu. Às vezes, pode ser necessário desviar do plano. Aprendemos as coisas por meio de incidentes em que precisamos ajustar nosso plano porque isso não foi exatamente o que precisávamos que fosse, e um plano ajuda a justificar todos esses desvios", diz Ensign.

3. Realize simulações de violações para toda a equipe.

Embora muitas organizações ensaiem a resposta cibernética com a equipe técnica, você também deve incluir a comunicação de crises como parte da simulação. Como um ataque real é muito estressante para todos na organização, bem como para os stakeholders externos, praticar a resposta reduz a tensão, a ansiedade e os possíveis erros.

O que fazer durante uma crise de cibersegurança

Identificado um ataque à cibersegurança, é hora de colocar seu plano de comunicação de crises em ação. Como as situações reais geralmente variam de acordo com os planos e as emoções são intensas, é essencial ter o seguinte em mente ao longo de cada etapa.

1. Comunique-se rapidamente e com o máximo de transparência possível

Quanto mais rápido você se comunicar, menos boatos e menos especulações aparecerão. Assim que você tiver informações básicas sobre o ataque e o impacto, compartilhe uma declaração inicial que explique claramente o que aconteceu e quaisquer mudanças nos processos de negócios. Se o ataque foi devido a um erro de um funcionário ou da empresa, assuma a responsabilidade. Explique como a empresa comunicará atualizações, por meio das redes sociais ou de uma página da web dedicada, bem como um cronograma para atualizações futuras. A primeira comunicação deve incluir também quaisquer etapas que as pessoas potencialmente afetadas devam tomar, como alterar senhas ou monitorar suas contas.

2. Estabeleça um processo para que os consumidores obtenham informações adicionais

Informe aos clientes afetados como obter informações adicionais para sua situação específica, como uma linha direta de telefone ou e-mail dedicado. Certifique-se de que esses canais sejam monitorados continuamente e que as perguntas sejam respondidas rapidamente. Após a recente violação da Change Healthcare, a empresa configurou um site dedicado para informações que também incluiu uma linha telefônica direta.

3. Atualize a comunicação regularmente

Como um ataque cibernético é uma situação em evolução, você pode reconstruir a confiança mantendo contato regular com todas as partes afetadas. Ao fornecer atualizações, você permite que os clientes saibam que você está levando a situação a sério e tomando providências. A Change Healthcare criou uma página da web detalhada que forneceu o status de todas as funções de negócios, bem como a data esperada de restauração de cada uma, que foi atualizada diariamente durante o auge da recuperação.

"Seus clientes e pessoas afetadas pelo incidente vão se preocupar com ele por muito mais tempo do que a mídia", diz Ensign. "Só porque não está mais na mídia não significa que não seja importante continuar a comunicação.

4. Compartilhe como a organização reduzirá os riscos no futuro

Após o ataque à SolarWinds, a empresa trouxe Alex Stamos, ex-chefe de segurança do Facebook e do Yahoo e atual professor da Stanford University, e Chris Krebs, ex-diretor da Cybersecurity and Infrastructure Security Agency (CISA), como consultores independentes para a recuperação da SolarWinds, o que melhorou a confiança na cibersegurança futura da organização. A SolarWinds também fez mudanças significativas em suas camadas de segurança para reduzir o risco futuro, que ela comunicou ao público.

Tenha um plano de comunicação em vigor

Um ataque cibernético contém muitas informações desconhecidas e é uma situação complexa. Com um plano sólido pronto e uma equipe para gerenciar as comunicações, você pode fazer alterações com facilidade com base na situação específica. Com uma comunicação de crises eficaz, sua empresa pode chegar ao outro lado de um ataque cibernético com ainda mais confiança de seus clientes com base em sua resposta e comunicação.

"É importante ter todos os planos de comunicação, programas, ativos, materiais e relacionamentos em vigor antes que algo aconteça", diz Ensign. “Quando esse dia chegar, porque todos sabemos que esse dia vai chegar, você tem todas essas coisas à sua disposição e pode realmente aparecer da maneira que deseja.”

Os consultores de gerenciamento de crises cibernéticas do IBM X-Force podem ajudar as equipes de comunicação a criar um playbook de comunicação de crises personalizado e robusto, adaptado para resposta a grandes ataques cibernéticos e cenários preferenciais da sua empresa. A equipe pode ajudar a integrar o fluxo de comunicações ao seu plano de crise cibernética ou recuperar planos desatualizados e garantir que estejam em conformidade com os padrões atuais do setor. Além disso, os consultores de gerenciamento de crises cibernéticas do X-Force podem executar uma simulação imersiva que incluirá sua equipe de comunicações, ajudando a criar memória muscular antes de qualquer possível crise cibernética.

Para saber mais sobre nossos serviços de gerenciamento de crises cibernéticas, clique aqui.

Agora que discutimos o que fazer em relação à comunicação em situações de crise, confira nossa próxima história desta série, Comunicação de crises: o que NÃO fazer.
