Comunicação é importante, especialmente em um incidente de segurança

Os incidentes de segurança cibernética têm aumentado muito em todos os setores à medida que as comunicações eletrônicas aumentam cada vez mais a vulnerabilidade das informações.

Pense na violação da Target, que expôs os dados de cartão de crédito de 40 milhões de clientes durante as compras de fim de ano em 2013, ou o incidente do eBay, resultado de um ataque de engenharia social que acabou comprometendo registros de mais de 100 milhões de usuários.

E se uma violação desse tipo acontecesse com alguém afiliado à sua organização, como um membro do conselho? Imagine que sua empresa tenha sofrido um incidente de segurança em potencial. Os registros podem ter sido comprometidos, mas você não tem certeza. Na verdade, você não tem nem certeza se a rede foi invadida. Talvez um funcionário tenha acessado um banco de dados não autorizado.

Quando acontece um incidente, a reação normalmente é gritar “violação de dados”, que é o que chega ao conhecimento do conselho de administração e é por ele reproduzido. Essa frase, dita publicamente sem contexto por alguém com grande influência e ocupando um alto cargo na empresa, poderia criar um efeito bola de neve em termos de relações públicas, questões jurídicas e de conformidade que podem vir a custar muito à empresa.

Por que a linguagem é tão importante

Ao conversar sobre uma suposta situação de segurança, a palavra violação é a mais usada. Quando várias pessoas ouvem a palavra “falha”, geralmente imaginam o pior: por exemplo, informações de crédito roubadas, colocando extratos bancários em risco. Ainda que isso tenha acontecido realmente com a Target, o que resultou em processos, substituição de cartões de crédito e monitoramento de atividades, nem todas as violações causam tantos transtornos. Por exemplo, no caso do eBay, a correção consistiu na alteração de uma senha.

A solução para controlar a divulgação desses tipos de violação em geral está em antecipar-se e assegurar que o uso da palavra “violação” seja acompanhado por desculpas e informações claras a respeito das etapas que uma empresa está seguindo para corrigir o problema.

“Aplicar um modelo de crise comum não funciona para os ataques modernos”, observa a International Association of Privacy Professionals. “Tenha cuidado ao dizer que o assunto está totalmente resolvido. Tenha cuidado com os números divulgados”, pois, uma das piores coisas que podem acontecer é os membros do conselho assegurarem publicamente aos clientes que o problema foi contido, apenas para não parecer tão grave.

Considere outras palavras

Quais são as formas pelas quais as organizações devem reagir a um evento de segurança? Durante uma discussão em um painel na Enfuse Conference 2016, especialistas como Ed McAndrew, que já trabalhou no Departamento de Justiça dos EUA, concordaram que violação é uma palavra forte que não deve ser usada devido ao pânico e aos problemas legais que ela pode trazer. A não ser que você seja o responsável por investigar a ameaça, você não saberá até que ponto a segurança está comprometida e, ao usar a palavra “violação”, poderá fornecer informações falsas.

“Há outros tipos de incidentes de segurança, como representação, negação de serviço e deface de sites, que não envolvem o roubo de dados pessoais confidenciais e são muito diferentes aos olhos da lei e para fins de conformidade regulamentar”, escreveu Kate Brew para o blog de Alien Vault.

Em vez disso, as empresas devem considerar usar termos como “incidente” ou “evento”, menos agressivos que violação. Mesmo que esses termos tenham diferentes significados.

• Violação de segurança envolve dados roubados ou comprometidos e tem ramificações jurídicas.
• Incidente de segurança é “um evento que viola a segurança de uma organização ou as políticas de privacidade que envolvem informações confidenciais, como CPFs ou informações médicas”, de acordo com o post de Mahmood Sher-Jan para a ID Experts.
• Evento de segurança é “qualquer ocorrência observável em um sistema ou rede”, de acordo com o National Institute of Standards and Technology.

As organizações não precisam notificar a polícia ou o público a respeito dos incidentes de segurança. No entanto, uma violação de dados precisa ser relatada. Nos EUA, 47 estados, assim como Washington, D.C., Guam e Porto Rico, têm leis que exigem que as empresas notifiquem qualquer violação de dados que tenha comprometido informações de clientes de acordo com o National Conference of State Legislatures.

Um processo transparente sempre é obrigatório

Observando as violações de dados com maior grau de repercussão, fica claro que as organizações que prosseguem com um processo contínuo e transparente geram mais confiança com o público. Quando os membros do conselho discutem informações que cercam um incidente de segurança, eles devem abordar a situação com o cuidado apropriado. Em vez de comunicar todas as informações perdidas ou roubadas, explique o impacto para o público e para a organização. Além disso, o público deve ser informado sobre o que deve fazer para manter suas contas seguras. Por fim, ao falar em nome da organização, os membros do conselho devem usar termos que representem claramente o incidente conforme apresentado pelo pessoal de segurança e de TI e não sair do roteiro com termos genéricos como “violação de dados”.

É vital para uma empresa ter um entendimento sobre as sutilezas da segurança cibernética e as diferentes funções que os vários departamentos precisam desempenhar nessas situações. Quanto mais eles souberem e entenderem que as palavras usadas são extremamente importantes, mais provável será que toda a equipe siga as etapas necessárias que podem terminar poupando a reputação e o dinheiro da empresa.