0
0
De acordo com o último relatório do Identity Theft Research Center, houve 1.802 violações de dados que afetaram mais de 422 milhões de vítimas em 2022. No cenário de ameaças voláteis de hoje, não é mais uma questão de se sua organização será violada, mas quando — e mais importante, como — você responderá.
Portanto, embora certamente caiba aos CISOs e outros líderes de segurança cibernética tomar as medidas necessárias para evitar violações de dados, é igualmente sua responsabilidade responder a elas da maneira certa quando elas acontecem. Vimos como os líderes das empresas lidaram mal com essas situações delicadas e testemunhamos as consequências. Varrer um ataque cibernético crítico para debaixo do tapete, jogar o jogo da culpa, enganar ou tentar revestir a situação é uma maneira fácil de perder a confiança do público e sofrer danos reputacionais difíceis de recuperar.
Práticas recomendadas após uma violação de dados
Ao seguir um conjunto padrão de práticas recomendadas, os CISOs podem dar o seu melhor para recuperar a confiança do consumidor, dos funcionários e dos investidores quando um agente de ameaças escapa das defesas.
1. Relatórios rápidos que vão além: nos Estados Unidos, os padrões de relatório de violação de dados diferem de estado para estado. Por exemplo, a lei de notificação de violação de dados de Nova York exige que as organizações notifiquem os residentes do estado sobre qualquer distribuição não autorizada de suas informações pessoais sem demora razoável. Também requer a submissão do incidente ao Ministério Público e a outras entidades do governo estadual. Se a violação afetar mais de 5.000 cidadãos, os órgãos de defesa do consumidor também devem ser alertados. Por outro lado, em alguns estados, como o Mississippi, as organizações não são obrigadas a alertar nenhuma entidade do governo estadual em caso de violação. Na verdade, se uma investigação revelar que os indivíduos impactados provavelmente não serão prejudicados pelo incidente, a organização não precisa alertá-los.
Independentemente de onde uma empresa opera e quais procedimentos ela é legalmente obrigada a seguir, é imperativo que seus líderes vão além para relatar qualquer incidente de violação de dados. Isso significa alertar as agências governamentais relevantes, bem como quaisquer indivíduos afetados, mesmo que não sejam propensos a serem afetados. Para salvar a face, muitos líderes cibernéticos podem ser tentados a fazer o mínimo quando se trata de relatórios, mas a transparência total é fundamental ao responder a um incidente de segurança cibernética. Caso contrário, pode parecer que as empresas têm algo a esconder e correm o risco de prejudicar sua reputação, bem como perder a confiança que construíram com seus clientes.
2. Informar as partes interessadas com humildade e honestidade: Quando se trata de divulgar um incidente de segurança cibernética para as partes interessadas, a forma como as informações são comunicadas é importante. De indivíduos afetados, a parceiros e funcionários internos, todas as partes interessadas devem ter uma compreensão completa da violação de dados inicial, bem como dos esforços de investigação e remediação.
As comunicações post mortem abrangentes devem incluir:
- O que/como/quando os dados foram acessados
- Como as equipes de segurança reagiram à violação
- Quantas pessoas foram afetadas
- Quais ferramentas e protocolos serão implementados para evitar situações semelhantes no futuro
- As ações que os indivíduos afetados devem tomar para proteger seus interesses pessoais, ou seja, alterar senhas, fechar contas, monitorar o crédito gratuito, etc.
- Quem os indivíduos afetados podem entrar em contato para obter mais informações
Qualquer pessoa que descubra que seus dados pessoais foram divulgados sem sua autorização se sentirá compreensivelmente frustrada com a situação, e uma notificação incompleta da organização em questão provavelmente agravará esses sentimentos negativos. Uma comunicação direta, transparente e abrangente diretamente dos responsáveis pode ajudar muito. As mensagens certas podem ajudar as vítimas a se sentirem empoderadas com informações e dar-lhes a tranquilidade de que a empresa está trabalhando diligentemente nos bastidores em seu nome. É uma boa ideia ter um plano completo de continuidade de negócios, fornecendo um roteiro para os CISOs obterem o suporte jurídico, de sucesso do cliente, de relações públicas e de vendas necessário para uma resposta multifuncional.
3. Responsabilização pública — o dinheiro para por aqui: em agosto de 2022, o gerenciador de senhas LastPass sofreu uma violação de dados significativa — mas você não saberia disso com base na maneira como a empresa falou sobre isso. O LastPass inicialmente alegou que a violação estava “contida”, mas apenas três meses depois um invasor acessou os ambientes de nuvem e cofres de senhas do LastPass usando informações comprometidas na violação inicial. É justo se perguntar se minimizar a gravidade do ataque em seus primeiros dias custou às equipes de segurança do LastPass um tempo valioso que poderia ter sido usado para alterar as informações críticas de login que mais tarde foram reveladas como comprometidas.
Não basta informar de forma privada as partes interessadas afetadas, ou silenciosa e rapidamente corrigir o problema e seguir em frente. Os líderes organizacionais devem tomar a iniciativa de divulgar rapidamente uma declaração pública que assuma total responsabilidade pela situação. Em vez de apontar o dedo ou tentar rebaixar a situação, esta comunicação deve assumir 100% de responsabilidade. Para recuperar a confiança do público, especialmente entre clientes, investidores e funcionários, ele deve descrever claramente a situação e como a empresa evitará violações semelhantes no futuro.
Uma resposta pública ruim a um incidente de segurança cibernética pode ser prejudicial o suficiente para reputações que as ações da empresa caem e os clientes fogem. No caso do Twitter, se tivesse divulgado publicamente a violação da API assim que foi descoberta, talvez não tivesse explodido em um pesadelo de relações públicas. Uma abordagem honesta e direta é um exemplo de boa cidadania corporativa com a qual o público pode contar – e permanecer leal. Um estudo descobriu que 25% dos consumidores têm uma política de tolerância zero quando se trata de comportamento corporativo antiético.
Considere uma violação de dados uma oportunidade de “andar a pé”. Afinal, bons negócios devem sempre ser guiados por uma forte bússola moral, e uma resposta franca à crise é um componente crítico para cumprir essa missão.
A resposta certa à violação de dados pode fazer a diferença
Violações de dados infelizmente não são mais uma raridade, e nem respostas corporativas decepcionantes a essas situações. As organizações devem estar preparadas com um procedimento de resposta baseado na transparência, responsabilidade e humildade. Ao serem francos sobre a situação, os líderes empresariais podem proteger suas reputações e recuperar a confiança do consumidor.
FONTE: DARK READING