O poder da comunicação na ciber-resiliência das organizações

A estratégia adotada pelas Empresas e a forma como as Organizações se preparam para responder e comunicar durante uma crise pode ter um impacto direto no negócio e muitas vezes levar a sérios danos reputacionais, chegando a um ponto sem retorno. Aliás, negar um roubo de dados, sejam pessoais, sensíveis ou até meramente profissionais, só pode piorar a situação; além do mais, o silêncio ou a ausência de declarações pode ser encarado como uma falha em fornecer respostas ou uma tentativa de esconder a real situação e a gravidade da mesma perante os principais stakeholders da empresa atacada.

De acordo com o “Top Targeted Countries – January 2023”, Portugal está entre os países do mundo que sofreram mais ataques informáticos de ransomware – envolvendo um pedido de resgate das informações furtadas pelos cibercriminosos. Este é um sinal de alerta, ditando uma tendência mundial impulsionada pela continuidade da guerra na Ucrânia e pelo aumento dos ciberataques de grupos de hackers pró-Rússia, e no extremo, pelo crescimento exponencial do cibercrime na época pós-pandemia.

Destaco aqui algumas ações essenciais na gestão de comunicação (e de crise!) perante um caso de ciberataque, numa abordagem aos seus principais “Do’s & Don’ts”:

DO’s:

1. Estabelecimento de uma Equipa/Sala de Crise com o desencadeamento de iniciativas de integração/interação entre os vários departamentos da Organização, reunidos para falar abertamente sobre o ciberataque e evidenciar onde cada um deverá atuar para mitigar e recuperar do desastre ocorrido;
2. Gerir a comunicação interna, perante colaboradores, clientes, parceiros, fornecedores – adotar uma comunicação transparente, clara e assertiva (e sobretudo on time, isto é, não deixar passar demasiado tempo pós ataque sob pena de estar a “encobrir” o caso); ser claro e específico sobre a realidade/gravidade do ciberataque ocorrido e suas possíveis consequências, o chamado “abrir o jogo” na medida do necessário sem evidenciar zonas “cinzentas” que criem a dúvida, incerteza ou desconfiança do que realmente ocorreu;
3. É também essencial “sensibilizar” os colaboradores sobre o que podem ou não dizer ou como encaminhar algum tipo de solicitação durante um ciberataque. Caso não passemos algumas ‘guidelines’, o público interno poderá ser o primeiro a atrapalhar e a “aniquilar” toda a estratégia de comunicação. A comunicação interna é fundamental para manter a coerência do que se comunica para o exterior;
4. Gerir o ciberataque junto das Autoridades Legais Competentes (envio de comunicações e informações legalmente exigidas, sobretudo em casos que envolvem pedidos de resgaste; gerir dentro da própria Organização, a articulação entre vários departamentos responsáveis (incluindo área jurídica/legal), nomeadamente, no que respeita as conclusões obtidas da análise forense ao incidente, e às ações desenvolvidas na sua mitigação e recuperação. A avaliação do impacto do ciberataque é fundamental na comunicação com as Autoridades Legais;
5. Gerir a comunicação externa para os Media e minimizar eventuais danos reputacionais e de imagem: essencialmente, transmitir uma mensagem transparente e pragmática sobre o incidente ocorrido.

DON’Ts:

1. Ocultar informações relevantes ou mentir (por exemplo, afirmar que o ataque foi “contido/restringido com sucesso” e “detetado a tempo de possível contágio”, ou até afirmar que não houve qualquer comprometimento/fuga de dados – são a meu ver, dois erros crassos, que conferem péssima imagem à entidade em causa, e quase sempre fáceis de virem a ser desmentidos (muitas vezes pelos próprios grupos cibercriminosos);
2. A não comunicação ou o silêncio, reforça as perceções negativas de uma empresa, proporciona a multiplicação de opiniões distintas e desinformadas, e por consequência, o agravamento gerado pelo vazio de informações.

A importância da (gestão da) Comunicação é um tema sempre atual e pertinente, e transversal a qualquer setor de atividade. Há que ter estratégias previamente delineadas e bem oleadas para dar resposta à opinião pública e fazer por informar, de uma forma clara e objetiva, todos os stakeholders com a obrigatória (ou pelo menos, com a possível) transparência. Uma estratégia de comunicação é assim basilar e crítica, transformando-se no nosso grande aliado, na (boa) gestão e resposta eficaz perante uma situação de crise/ciberataque/desastre.