es Español

Riscos cibernéticos de reputação: pronto para a hipertransparência?

“As deficiências da cibersegurança ainda são alarmantes, principalmente nas médias e pequenas empresas, que constituem a maior parte do nosso tecido econômico”

Neste exato momento, milhões de tentativas de ataques cibernéticos estão ocorrendo contra empresas e instituições em todo o mundo. Alguns deles estão conscientes, preparados e preparados para se defender. Muitos outros farão isso tarde demais, quando seus sistemas forem comprometidos, dados sequestrados e atividades paralisadas. 

As deficiências de segurança cibernética ainda são alarmantes, principalmente nas médias e pequenas empresas que constituem a maior parte de nosso tecido econômico. Mas ainda maior pode ser o despreparo das organizações para comunicar as causas e os efeitos desses riscos aos seus diferentes stakeholders (clientes, colaboradores, fornecedores, acionistas ...). 

Até recentemente, deficiências de comunicação eram mais ou menos consideráveis; Mas duas circunstâncias estão aumentando sua relevância nestes tempos: uma, o aumento e impacto na opinião pública dos ciberataques em um contexto de aceleração digital devido à pandemia; e dois, uma demanda crescente por transparência na nova geração de regulamentações sobre o gerenciamento dessas crises cibernéticas.

Somente nas últimas semanas, todos pudemos ler algumas notícias de ciberataques contra empresas e instituições como estas: “Um dos maiores oleodutos dos Estados Unidos suspende suas operações após sofrer um ciberataque”; “A Glovo sofre um 'hack' que expõe os dados de clientes e distribuidores em Espanha”; “Uma onda de ciberataques derruba os sites do INE, Justiça, Economia e mais ministérios”; “Ataque cibernético e chantagem à Phone House: eles roubam e disseminam dados de 3 milhões de clientes”. 

O impacto desta comunicação é enorme, com efeitos na continuidade do negócio e na atividade a curto prazo; mas também, com consequências de médio prazo no reputação das organizações e de seus gerentes, que será valorizado pelo que eles fazem e dizem (ou não fazem ou dizem) antes, durante e depois do ataque cibernético. 

É disso que tratam os riscos cibernéticos de reputação. São julgamentos coletivos sobre a conduta das empresas e dos responsáveis ​​por situações que ameaçam bens valiosos para seus stakeholders. Avaliações sobre a transparência, integridade ou contribuição das decisões tomadas e executadas (ou não) por cidadãos, autoridades, clientes ou colaboradores. E isso pode gerar atitudes de apoio ou rejeição nas organizações em relação à sua sustentabilidade ou licença social para operar.

Do ponto de vista da reputação, podemos classificar os eventos de cibersegurança em cinco dimensões que podem colocar em risco a avaliação favorável de uma organização, de acordo com o modelo de reputação Relevância de reputação por LLYC.

  • Dimensão da Imagem: Os riscos cibernéticos de reputação podem contradizer as expectativas emocionais ou aspiracionais das partes interessadas, fazendo com que despertem sentimentos negativos sobre a empresa e suas marcas.

Nesta dimensão, podemos encontrar incidentes de segurança cibernética que são baseados na personificação da identidade digital de executivos da empresa (como "deepfakes"), e também os usos não autorizados de marcas registradas de uma organização que os vinculam a mensagens ofensivas ou ações pejorativas para sua clientes, funcionários, fornecedores e investidores. 

  • Dimensão de credibilidade: Os ataques cibernéticos podem afetar as expectativas pragmáticas dos stakeholders, impedindo a empresa de cumprir sua promessa de valor e fazendo com que fiquem insatisfeitos com os serviços e produtos fornecidos.

Aqui estão eventos como ataques de negação de serviço (DoS) ou ransomware, que impedem o acesso a páginas da web, e-mails e sistemas de computador necessários para que os funcionários gerenciem e os clientes recebam serviços e produtos.

  • Dimensão de transparência: Os eventos de cibersegurança também podem comprometer as expectativas relacionais das partes interessadas quando percebem que a empresa os engana sobre o que aconteceu ou que não fornecem informações suficientes.

Sem dúvida, este é um dos maiores riscos para a reputação que pode ocorrer ao sofrer um ataque cibernético. A tentação de ocultar os fatos pode ser forte quando se pensa que ainda não foram divulgados e, mais ainda, quando existe a possibilidade de vazamento de informações com dados pessoais. 

Por este motivo, neste último caso, a legislação espanhola obriga a notificar o incidente à Agência Espanhola de Proteção de Dados, às autoridades competentes ou organismos equivalentes, e às pessoas cujos dados foram afetados, para que possam tomar as medidas adequadas dentro de um prazo máximo de 72 horas a partir do seu conhecimento.

  • Dimensão de integridade: O comportamento da empresa diante de uma cibercrise pode infringir as expectativas éticas dos grupos de interesse quando estes suspeitam que não está agindo de forma exemplar ou com a devida honestidade.

Nessa classificação podem ser inseridas as ações de “engenharia social” que utilizam as identidades ou marcas de uma empresa para capturar dados de forma fraudulenta (Phishing) E também, todos aqueles atos de assédio e extorsão que usam perfis falsos da organização para ameaçar informações prejudiciais. Quando a empresa não divulga e relata prontamente essas práticas, ela incentiva comportamentos ilícitos e desonestos em nome da empresa que podem acabar manchando sua própria reputação.

  • Dimensão de contribuição: Finalmente, eventos críticos de cibersegurança podem minar as expectativas sociais das partes interessadas se eles questionarem a contribuição positiva da empresa para a melhoria da sociedade.

Nesta categoria podemos encontrar incidentes relacionados ao hacktivismo, que utiliza vários tipos de ciberataques para atrair e mobilizar seguidores de determinadas causas políticas, sociais, ambientais ou trabalhistas.

Nessa lógica de reputação está inscrito, por exemplo, o debate sobre o pagamento de resgates a cibercriminosos para recuperação de dados ou sistemas sequestrados. Que prêmio mais: expectativas pragmáticas de pessoas, como usuários ou seus expectativas éticas, como cidadãos? Qual é o impacto desse risco em sustentabilidade empresarial? Essas são as perguntas que são respondidas em uma estratégia de resposta a riscos cibernéticos de reputação. Questões relevantes que levaram, por exemplo, a AXA France a eliminar resgates de sua cobertura de seguro cibernético para ransomware, após profundo debate sobre o assunto no Senado daquele país.

Talvez por tudo isso, os juristas esperam que as novas regulamentações sigam na esteira do Regulamentação DORA de resiliência operacional digital para o setor financeiro, no qual essas empresas são expressamente obrigadas a definir "uma estratégia de comunicação em caso de incidentes relacionados com as TIC". 

Talvez, também, esteja sendo valorizado que o comunicação transparente pode constituir uma solução oportuna tanto para evitar esses riscos, com maior conscientização de funcionários e usuários, quanto para mitigar seu impacto e probabilidade de ocorrência, penalizando socialmente os cibercriminosos de forma mais severa. Em qualquer dos casos, será necessário preparar-se, mais e melhor.

Ivan Pino

Sócio e Diretor Sênior de Risco e Crise, LLYC

Artigo publicado originalmente no blogue Fide no comfideinicial

Se o artigo foi interessante para você,

Convidamos você a compartilhar nas Redes Sociais

Twitter
LinkedIn
Facebook
E-mail

Deixe um comentário

Este site usa o Akismet para reduzir o spam. Saiba como seus dados de comentário são processados.

Contacto

Preencha o formulário e alguém de nossa equipe entrará em contato com você em breve.