Vazamentos de dados provocados por ataques cibernéticos colocam reputação das empresas em risco

Seja por negligência ou por inabilidade nas ações de defesa diante de um ataque, as empresas atacadas podem colocar em risco a relação de confiança com clientes e com fornecedores. A rápida publicização dos ataques e a falta de comunicação das empresas com seus consumidores pode agravar ainda mais um quadro crítico. “O cliente pode deixar de adquirir um produto, pode deixar de confiar as suas informações àquela empresa”, diz Marta Helena Schuh, diretora de Cyber Insurance da Marsh Brasil, que inclui entre as opções da apólice o apoio na gestão de crise.

O consumidor brasileiro tem se preocupado cada vez mais com o modo como as empresas cuidam de seus dados. Um estudo da Zoho, empresa de aplicativos e softwares de negócios, conduzido pela plataforma Toluna, mostra que 48% dos entrevistados deixariam de comprar em uma empresa se descobrissem que ela já sofreu ataque cibernético. Até porque, quando um dado é vazado, ele pode ser usado em fraudes em lojas virtuais ou pedidos de empréstimos, o que pode até lesar o consumidor ao incluí-lo em listas de inadimplentes no Serasa ou SPC, sem que ele nem ao menos saiba.

Se as empresas, no Brasil, ainda têm pouca consciência dos prejuízos financeiros que podem vir de um ataque, a situação é ainda mais crítica quando o risco é para a reputação empresarial. “A maioria das empresas ainda se veem como imunes”, diz Marta. “’Por que o hacker vai ter interesse nas minhas informações ou na minha empresa?’, elas se questionam. A verdade é que muitas vezes o fraudador está investindo contra várias empresas simultaneamente e pode atingir aquela que não estiver mais protegida.”

Para Rodrigo Sanchez, diretor executivo comercial da Clear Sale, as corporações mais consolidadas no mundo digital – e que até já sofreram as consequências de um ataque anteriormente –, estão mais conscientes do risco reputacional à marca. A vulnerabilidade é maior, agora, nas pequenas empresas. “Muitas empresas novas se digitalizaram, muitos empreendedores abriram microempresas, e elas chegaram ao mercado com menos expertise”, diz. Os ataques a microempresas cresceram 102% em comparação ao ano anterior. A empresa publicou o Mapa da Fraude, um estudo com dados de fraude no último ano em setores como e-commerce, mercado financeiro, telecomunicações, entre outros.

No limite, os incidentes cibernéticos podem culminar até mesmo no fechamento da empresa. Um levantamento da Cyberason identificou que 31% das empresas norte-americanas vítimas de ransomware acabam fechando as portas. Os danos a marca estão entre um dos impactos negativos citados, além de perda de receita e cortes imprevistos de pessoas.

Investir em conscientização e em soluções antifraude é fundamental, assim como a tomada rápida de decisão. “Se eu não reajo rápido, se eu não identifico a fraude no início, o número de tentativas e de fraudadores que vão começar a explorar aquele canal aumenta de maneira exponencial em um curto intervalo de tempo. E quanto maior o ataque, maior o impacto gerado e o arranhão ou o dano causado na credibilidade e na relação daquela marca com os consumidores”, diz.

A advogada Patricia Peck, especialista em direito digital e conselheira titular do Conselho Nacional de Proteção de Dados, ressalta que, mais do que ser alvo de um ataque, o verdadeiro risco reputacional está na resposta dada pela empresa ao incidente. “Por isso é tão importante treinar os altos executivos, quem está no primeiro atendimento de resposta ao ataque, as áreas de Relações com Investidor, de Relações Públicas, de Recursos Humanos... todos que tomam as medidas de primeiros socorros ao ataque. É essa tropa de elite de resposta ao incidente que vai determinar se ele vira uma crise de imagem e reputacional”, explica. “O que mais contribui para uma crise é a empresa não agir rápido e não agir de uma forma coordenada, que demonstre ao mercado que você sabe o que está fazendo”, completa.

Assim, as empresas precisam ter constituído um plano de resposta a incidente, com os roteiros de situações, prazos de resposta e textos com padrões já estabelecidos que serão apresentados ao mercado, investidores, público interno e demais partes interessadas. “O que o mercado mais precisa é de conforto, então são notas de conforto. Quanto mais rápido a empresa faz a sua declaração oficial nas suas mídias, e ela diz qual vai ser a periodicidade que ela vai apresentar um relatório de status, ela está liderando o diálogo.”

Tão importante quanto se posicionar rapidamente é ter um plano de resposta a incidente que gere informações para uma comunicação mais clara. “Antes de tudo, é preciso ser feita a perícia digital para avaliar se aconteceu a exfiltração dos dados e determinar quais dados foram vazados, porque pode acontecer de serem dados que não têm relevância”, diz Marta. “Se você soltar um comunicado antes de saber disso, pode acabar gerando um pânico.” Mas, claro, uma vez que o vazamento de dados pessoais relevantes tenha sido detectado, a empresa precisa fazer a prestação de contas com as pessoas afetadas e com os órgãos competentes.

Todo esse cuidado com as informações transmitidas não assegura aos públicos de interesse que a empresa não será mais alvo de ataque, já que isso não é possível garantir, mas sinaliza que medidas foram tomadas para que aquela ocorrência não se repita, e que a empresa está atenta e preparada para se defender e investir em mais medidas de proteção a cada nova investida de cibercriminosos.

À medida que os dados se estendem da infraestrutura local para ambientes multinuvem e de nuvem híbrida, as equipes de TI e de segurança procuram maneiras de gerenciar melhor todo o ciclo de vida dessas informações. O objetivo central é reduzir o risco sem comprometer a produtividade dos colaboradores.