O recente ataque global WannaCry, que afetou 200.000 pessoas em 150 países foi um marco na história dos cibercrimes, obrigando empresas de todos os setores a repensarem as medidas de segurança. Como explica José Ramón Morais, sócio da Garrigues e especialista em indústria tecnológica e negócios digitais, ”As empresas dividem-se entre as que foram ciber atacadas e as que foram e não o sabem. Por vezes determinadas falhas atribuem-se a um mau funcionamento dos sistemas, quando na realidade o que está por detrás é obra de piratas informáticos”.
A dimensão do problema é tal, que algumas universidades lançaram nos últimos anos Mestrados em Ciber Segurança. Por outro lado, as companhias de seguros vendem todos os anos mais ciber apólices, um produto que protege as empresas anti roubos ou perdas de informação, cobrindo o pagamento de possíveis multas por não cumprimento da Lei de Proteção de Dados (LOPD). É certo que o Regulamento Geral Europeu de Proteção de Dados entrará em vigor em maio de 2018 e obrigará as empresas a cumprirem um estrito regulamento, no caso de serem vítimas de cibercrimes.
Para ajudar as empresas a gerir um novo tipo de crise de comunicação, que está a emergir num meio cada vez mais complexo, a consultora de comunicação e de posicionamento corporativo, ATREVIA, acaba de lançar uma App e um Manual 3.0. Desta forma pode comunicar de uma forma mais efetiva com os públicos externos, e ainda formar os seus colaboradores, que devem ser os principais aliados em situações de crise.
Colocamos em seguida as nossas recomendações para evitar que um possível ciberataque ponha em causa o seu negócio ou a sua marca.
O que fazer antes de um ciberataque?
• Manual de Crise 3.0. Adapte o seu Manual de Crise à nova era, inclua o cenário de um hacker. Se não contempla o cibercrime como uma das situações que podem atingir a sua organização, é porque não está a acompanhar as últimas tendências. Não importa a dimensão da sua empresa ou o setor a que pertence, já que todas as organizações são passíveis de sofrer falhas, que se traduzem em fuga de dados e, consequentemente, num risco reputacional.
• Prepare-se. Para se antecipar a uma situação de risco, é fundamental preparar um simulacro de crise. Vai permitir familiarizar-se com a situação e enfrentá-la caso se converta em realidade.
• Forme o seu público interno, que desempenha um papel fundamental antes, durante e após o ataque de hackers. A sua equipa deve saber que práticas podem favorecer um cibecrime, especialmente se utiliza smartphones através dos quais envia ou recebe e-mails, trabalha com dados relativos aos cartões de crédito de clientes ou com qualquer outra informação suscetível. Forme e informe os seus colaboradores, para que saibam que medidas devem adotar de forma a reduzir riscos. E lembre-se que o colaborador é o melhor embaixador quando comunicar para o exterior.
O que fazer durante um ciberataque?
• Convoque o seu comité de crise. Decida quem irá fazer parte, no caso do ciberataque se tornar realidade: CEO, departamento legal, assessores de comunicação, informáticos e, obviamente, forenses encarregados de encontrar a fonte do cibercrime.
• Rodeie-se de assessores qualificados. Embora conte com um departamento jurídico próprio, é conveniente contratar os serviços de uma equipa externa com experiência neste tipo de delitos. Não se esqueça da importância de contar com assessores de comunicação devidamente preparados. É fundamental que a estratégia do departamento jurídico e a estratégia de comunicação estejam sempre alinhadas.
• Informe os seus stakeholders sobre o ocorrido. Comece pelos afetados pelo cibercrime, tome a iniciativa e não deixe que tenham conhecimento dos factos externamente. Comunique-lhes o sucedido, o mais cedo possível, seja sincero, mostre empatia e informe-os em tempo real do que está a fazer para solucionar a situação. Se fez o que devia e conta com um Manual de Crise que contempla em ciberataque como um dos cenários de risco, é certo que tenha drafts de comunicados de imprensa preparados. Esta estratégia vai permitir-lhe reagir com agilidade e rapidez.
• Cumpra a legalidade. Comunique os factos às autoridades. Tal como recomendamos, se a sua empresa é portuguesa, a partir de 2018 os requisitos neste sentido vão ser ainda mais rigorosos.
• Prepare o front desk. O papel dos colaboradores que contatam diretamente com o público é essencial, pelo que devem ser dadas instruções sobre o que devem comunicar quando são questionados. Facilite-lhes um documento de perguntas e respostas que contenha todas as dúvidas que possam ser questionadas. Explique aos seus stakeholders onde devem dirigir-se para reunir mais informação.
• Monitorize. Acompanhe tudo o que se diz da sua empresa ou marca, off-line e on-line. Isto irá permitir-lhe atuar a tempo, informando sobre a real situação.
O que fazer depois de um ciberataque?
• Informe o seu público. Comunique aos implicados pelo ciberataque que a situação está a ser resolvida.
• Avalie. Como em qualquer outra crise, é fundamental tirar conclusões sobre o ocorrido.