Como mitigar o impacto dos vazamentos de dados na reputação?

Quando nós, consultores, dizemos às empresas que as crises de origem cibernética se tornam mais frequentes e complexas a cada dia e, por isso, demandam suporte contínuo e especializado, inclusive de comunicação, somos muitas vezes acusados de alarmá-las para “empurrar” nossos serviços. Mas, muitas vezes, acabamos contratados para remediar crises que poderiam ter sido mitigadas se recomendações consideradas “alarmistas” tivessem sido levadas em consideração. Organizações líderes de mercado têm colocado sua reputação em risco ao gerenciar mal casos de vazamentos de dados. Isso acontece, em geral, 1) por falta de preparação adequada e 2) por falta de expertise ao lidar com o incidente.

Embora a entrada em vigor da LGPD tenha acelerado os esforços de preparação em empresas de todos os setores, os casos em que o time de comunicação também se envolve em tais iniciativas ainda são minoria. Ainda se nota uma incoerência entre discurso e prática na narrativa sobre proteção de dados no Brasil: embora o risco à imagem já seja reconhecido por muitos (inclusive CEOs e membros de Conselhos de Administração) como um dos principais e mais duradouros efeitos da má governança de dados, pouco se vê a área de comunicação efetivamente envolvida nos esforços de preparação para incidentes.

Enquanto os advogados trabalham na adequação às diversas normas e os profissionais de segurança da informação, na busca de formas de prevenção, detecção e gerenciamento de incidentes, o time de comunicação deveria estar atuando na mitigação do risco reputacional – se familiarizando com o tema, os cenários e desdobramentos possíveis. Ou seja, criando “memória muscular” e ganhando confiança para falar sobre o assunto com propriedade quando o momento chegar. No entanto, a equipe acaba envolvida apenas quando a crise já está instalada e, por isso, nem sempre consegue responder de forma adequada.

Crises geradas por incidentes cibernéticos em muitos aspectos diferem de outros tipos de situações críticas, tornando-as particularmente desafiadoras. Por exemplo, a empresa pode realmente não ter ideia de que algo errado se passa até ser informada por um público externo (imprensa, hackers, empresas que monitoram ameaças etc) – o que já de início pode passar uma impressão de ineficiência ou até de opacidade por parte da organização. Além disso, por algum tempo, a empresa pode não ter absolutamente nada concreto a informar, o que gera frustração entre os diversos públicos de interesse. Os atores que normalmente provocam crises cibernéticas aperfeiçoam suas táticas continuamente, dificultando a prevenção e a reação das empresas.

Por essas e outras razões, é necessária uma preparação multidisciplinar, que envolva a comunicação desde sempre. Em geral, nós, consultores especializados, ainda somos acionados por empresas que já tentaram responder a incidentes de segurança de dados a partir de táticas “tradicionais” de gerenciamento de crise que falharam justamente por não considerar as especificidades da situação. Lidar com vazamento de dados requer expertise. No fim das contas, o objetivo é transmitir confiança aos diversos públicos de interesse – e isso só é possível quando a organização tem segurança em relação ao tema.

O aumento no número e na sofisticação dos ataques por hackers durante a pandemia da COVID-19 tem ampliado o debate sobre proteção de dados, tornando o assunto mais “quente” entre diversos públicos de interesse, incluindo a imprensa e os próprios cidadãos. Ou seja, a

pressão está aumentando e cada vez mais as empresas precisarão se comunicar mais efetivamente sobre proteção e vazamentos de dados. Antecipar-se poderá não apenas se tornar um diferencial competitivo, mas evitar prejuízos à imagem.

Os artigos aqui apresentados não necessariamente refletem a opinião da Aberje e seu conteúdo é de exclusiva responsabilidade do autor.