Share the post "O que fazer se a sua empresa for vítima de ciberataque: passo a passo"
Em termos globais, a grande maioria das empresas tem consciência que a segurança digital é uma forma de criar valor para o negócio. Sabendo que o que está em causa é a imagem e reputação da organização – e por conseguinte, a saúde financeira da mesma a médio e longo prazo -, o investimento em medidas de segurança concretas e tecnologias adequadas é um procedimento cujo retorno será sempre incomensurável.
Porém, face à exposição tecnológica crescente, há também que ter consciência que não há sistemas 100% seguros. Ou seja, na prática, e apesar da resiliência geral face aos ciber-riscos, do planeamento contínuo dos diversos cenários e respetivas respostas, sabe exatamente o que fazer após um ciberataque ou uma violação de dados?
Guia de boas práticas: o que fazer após um ciberataque?
A tipologia de crimes praticados no ciberespaço é ampla e os procedimentos a seguir após um ataque cibernético variam de caso para caso, de acordo com a dimensão do problema criado. No entanto, há um conjunto de boas práticas que, de forma geral, as empresas devem ter em consideração após um ciberataque e que listamos de seguida.
Antes disso, importa frisar que, até se perceber a origem e a dimensão do ataque, é necessário evitar falar de uma quebra de segurança. Queremos com isto dizer que é preciso conter a comunicação que passa para o exterior para, assim, não criar um problema maior do que aquele que efetivamente existe (se for o caso).
1. Verificação/investigação do problema
Depois de se ter verificado que a empresa foi vítima de um ciberataque, é necessário fazer uma inspeção aos sistemas da empresa para se tentar identificar não só a origem do ataque, mas também a natureza da informação que foi comprometida e quais as consequências dessa situação.
Reunir o máximo de informação possível sobre o ataque é uma estratégia fundamental para lidar a posteriori com o problema – não só em termos comunicacionais, mas também com o intuito de prevenir que a situação se repita. Nesta fase, o administrador/gestor da empresa, o Chief Security Officer (CSO) e a equipa de IT devem ser as únicas figuras a lidar com o assunto.
2. Proteção dos dados
Quais as medidas concretas a adotar para resolver a quebra de segurança ou minimizar o impacto da violação nos titulares de dados?
Esta é a pergunta que a equipa a lidar com o caso tem de fazer para, assim, otimizar os procedimentos para solucionar o problema. Dever-se-á bloquear os sistemas ou contas, a fim de proteger os clientes contra potenciais fraudes? Queremos com isto dizer que a mitigação atempada e sensata será uma forte defesa num eventual processo judicial.
3. Comunicação do problema
A comunicação do problema deve ser feita de forma estratégica e em duas fases. Num primeiro momento, a nível interno – informar os funcionários da empresa – e, numa segunda fase, as autoridades competentes, os clientes e, se necessário, o público em geral, através de um comunicado de imprensa, por exemplo.
Recorde-se que, desde que entrou em vigor o novo Regulamento Geral de Proteção de Dados, há regras que devem ser respeitadas quando ocorre uma violação de dados. Se a violação for suscetível de representar um risco para os direitos e as liberdades do titular dos dados, a empresa tem de notificar a autoridade de controlo sem demora injustificada e, o mais tardar, no prazo de 72 horas após tomar conhecimento da violação.
No caso da violação de dados representar um elevado risco para as pessoas afetadas, estas devem também ser informadas (a menos que existam medidas de proteção técnicas e organizativas eficazes ou outras medidas destinadas a garantir que não é provável que o risco se volte a concretizar).
Em qualquer um dos casos, e dada a sensibilidade do assunto, a comunicação do problema deve ser feita:
- De forma aberta e transparente – a empresa deve admitir a falha e assumir as responsabilidades;
- O mais clara possível, com todos os detalhes necessários;
- De forma a que se perceba que tudo foi feito para mitigar o problema;
- De forma pedagógica;
- De forma a abrir um espaço para o diálogo. Ou seja, deve envolver clientes, especialistas do setor, comunicação social e também o público em geral – para, assim, fundar uma discussão mais ampla sobre a origem do problema.
4. Prevenção
Informe-se sobre as boas práticas da segurança digital, previna-se, para mais tarde não ter de lidar com perdas de receitas, clientes, contratos, reputação empresarial e – não raras as vezes – a sobrevivência do próprio negócio.
Veja também: