risco
Superar o custo reputacional de um ataque cibernético: O plano de 10 dias
Os primeiros 10 dias após um ataque cibernético podem ser os mais prejudiciais para uma organização. A existência de um plano de resposta a incidentes cibernéticos e ter sido realizadas ações de treino do plano, ajuda as organizações a avaliar as ameaças e a desenvolver os controlos necessários para uma resposta mais adequada.
Key Takeaways
1. Assumir o controlo, seguindo passos claros após um evento cibernético nos primeiros 10 dias, pode ajudar a gerir os danos à reputação.
2. De acordo com o 2023 Cyber Resilience Report da Aon, quase 70%das perdas globais ocorrem durante os primeiros 10 dias sob a forma de perdas diretas, custos de gestão e de recuperação.
3. As estratégias proactivas de governação e de gestão do risco são cruciais para manter uma posição forte nos 90 dias que se seguem.
O plano de 10 dias
Ter um plano de resposta a incidentes cibernéticos em vigor e pronto a ser executado ajuda as empresas afetadas a tomarem medidas mais proactivas e a melhores decisões durante o período de crise, em vez de reagirem em modo de pânico.
O plano deve definir checklists, responsabilidades e uma linha direta de comunicação entre todos os interlocutores, os empregados, as pessoas responsáveis e os decisores finais. O plano prevê que deve haver pelo menos uma pessoa responsável em departamentos cruciais, incluindo o departamento jurídico e de compliance, comunicação e relações públicas, financeiro, RH e departamentos comerciais na equipa de resposta a incidentes.
De forma a estarem bem posicionadas para o sucesso nos primeiros 10 dias de uma crise de reputação provocada por um ataque cibernético, as empresas podem tomar as seguintes medidas:
Avaliar: Compreender o potencial impacto na reputação (dos clientes, reguladores ou mercados) associado aos primeiros 10 dias após um incidente. Estes insights irão impactar positivamente a gestão de crises críticas e as decisões de resposta a incidentes para mitigar os danos à reputação durante este período sensível.
Mitigar: Determinar os níveis atuais de gestão de crises, continuidade do negócio e prontidão de resposta a incidentes e desenvolverem planos de ação adequados. Assegurar de que estão disponíveis os recursos certos em termos operacionais, legais, de comunicações e de capacidades de monitorização de ameaças para responder atempadamente durante os primeiros 10 dias de um evento.
Transferir: Investigar quais os seguros existentes e assegurar de que sabem quando e como notificar e cooperar com a seguradora para utilizar da melhor forma a cobertura existente (caso exista). Com base na análise da exposição da reputação durante a fase de AVALIAÇÃO, é importante certificar-se de que os limites do seguro podem financiar adequadamente estes recursos externos, e verificar se os protocolos de notificação e os acordos de serviço com esses fornecedores já estão em vigor.
Responder: Testar frequentemente os planos de gestão de crises e de resposta a incidentes para um ataque cibernético. Realizar exercícios práticos entre equipas que envolvam os principais fornecedores e parceiros externos. Isto não só melhorará a preparação da organização, como também dará conforto aos intervenientes críticos, incluindo os investidores. É importante garantir que estão a ser adotadas práticas adequadas de governação e gestão de riscos para salvaguardar os acionistas, tais como:
- Resposta rápida a incidentes com comunicações claras e adequadas
- Implementação de uma infraestrutura sólida para prever e prevenir eventos futuros
- Estabelecimento de protocolos claros e coerentes em matéria de seguros e sinistros
- Investimento em ferramentas de monitorização da paisagem
"As empresas que planeiam e antecipam crises de reputação e que, por isso, conseguem comunicar de forma genuína, podem descobrir que o mercado não só pode perdoar, como também pode recompensar aqueles que respondem de forma eficaz", afirma Adam Peckman, Global Head of Cyber Risk Consulting da Aon e Head of Cyber Solutions na APAC.
Subscreva o Observatório de Risco e Pessoas aqui