Nos últimos dias, fomos tomados por uma avalanche de notícias sobre vazamentos de dados no Brasil, que vem causando perplexidade tanto no mundo corporativo como entre pessoas físicas. Além de atingir mais de 40 milhões de empresas, os números de CPFs vazados também são exorbitantes, um montante de 223 milhões deles que estão circulando na dark web, a 'internet profunda', uma arena desconhecida e de baixa regulamentação. Outra descoberta recente também identificou vulnerabilidades em uma nova base de dados que expõe em alto risco informações de mais de 100 milhões de contas de celular.
Essa fragilidade coloca em alerta toda a comunidade e, mais uma vez, reforça a essencialidade da segurança cibernética, que precisa ser instada como prioridade máxima por todas as organizações que fazem uso constante de dados, o novo minério virtual. Ainda mais agora, com a Lei Geral de Proteção de Dados (LGPD) em pleno vigor no País.
Não é de hoje que pessoas e empresas sofrem os mais variados ataques cibernéticos, causando exposição de informações sensíveis. Neste cenário, como manter uma organização segura, avaliar e reduzir as portas de ataques, minimizando os impactos gerados, especialmente para as marcas? Qual o maior desafio para conduzir casos como esses acima mencionados, de modo que não deixem rastros devastadores para uma empresa que sofre tamanho ataque? Como blindar e seguir com a reputação da marca após uma exposição de dados de seus clientes?
Por experiência e intensa atuação nessas duas frentes, em tecnologia e marketing digital, entendemos que há que se ter um olhar observador, crítico, aprofundado e com todo o rigor que o tema de cibersegurança requer em toda a cadeia. Afinal, do lado da Tecnologia da Informação, após um ataque cibernético, há um trabalho importante de recuperação do ambiente, com a agilidade necessária para aplacar os estragos identificados e interromper essa vulnerabilidade. No entanto, como fica a imagem da marca diante desses casos? Esse questionamento vai além da questão técnica. Por isso, as duas pontas precisam estar envolvidas, ter um acompanhamento de ambas as áreas desde o início da descoberta de um ataque, uma vez que o olhar do marketing é complementar e deve ser acionado paralelamente à correção tecnológica em curso.
Se por um lado a TI faz o trabalho de prevenção do vazamento de informação e preservação da confidencialidade do dado, por outro lado temos a suscetibilidade aos ataques. Justamente, quando isso acontece que é preciso trabalhar a credibilidade da marca, com uma gestão de crise para conter esse incidente. Seria como ter um navio avariado, com buracos em seu casco, e ter que tapar esses buracos, estancar logo o problema e constatar que ele está seguro para navegar novamente.
Essa analogia nos faz enxergar o quão importante é recomendável dar visibilidade ao que de fato aconteceu, diante de um vazamento e exposição de dados e, consequentemente, mostrar transparência. A credibilidade está muito associada ao ser transparente. As marcas precisam ter uma posição de humildade, no sentido de assumir falhas, afinal, assim como as pessoas, as marcas também são passíveis de atos dessa natureza, também enfrentam vulnerabilidades. E o meio mais eficaz de recuperar a confiança é ter clareza no que aconteceu e, principalmente, na execução do plano de resolução.
A construção de uma marca precisa ser feita em cima de verdades, a partir de fatos concretos. E, eventualmente, diante de uma crise como um vazamento de informação, é uma oportunidade de transformar um problema em uma maneira de ratificar junto ao seu público o quanto essa marca é transparente e comprometida com a verdade.
A transformação digital trouxe para os dias atuais novos parâmetros para serem incluídos nesse relevante processo de cybersecurity e o dado passou a ser considerado um ind point, ou seja, é um ponto a ser protegido com a LGPD. Desta forma, a segurança não é mais cíclica. Agora, ela é mais tradicional, trabalha em rede e em diversos níveis, aumentando, assim, a resiliência para um ataque. Aqui, o importante é saber 'quando' você será atacado e não se você sofrerá um ataque. E a resposta para o incidente é mostrar o quanto mais rápido você for, mais resiliente você é. Certamente, esse aspecto deve ser compartilhado com a equipe de marketing e de comunicação para se ter a noção exata e comunicar a ocorrência de forma clara e transparente. Já ao time técnico cabe restabelecer o ambiente no menor tempo possível e torná-lo mais seguro.
O foco essencial é trabalhar nos processos e desenhar a segurança de acordo com o negócio. O negócio não se adapta à segurança, é a segurança que tem que se adaptar ao negócio. É preciso proteger o ambiente e saber o quão será mais rápido para responder a esse incidente cibernético. Isso tudo é com base na transparência, com comunicação, e como compartilhar isso com o mercado, como exige a LGPD. Segurança não é mais uma área de suporte, ela é uma área de negócios, ela tem que garantir a continuidade do core business das organizações.
Tiago Ritter, CEO da W3haus, empresa do Grupo Stefanini e Leidivino Natal, CEO da Stefanini Rafael, empresa do Grupo Stefanini.