Comunicação em Crises Cibernéticas

Importância da Comunicação em Crises

Durante um incidente de segurança, a comunicação inadequada pode amplificar o dano à reputação da organização tanto quanto o próprio ataque. Uma estratégia de comunicação bem executada demonstra transparência, controle e compromisso com stakeholders.

Princípios de Comunicação de Crise

  • Rapidez: Primeira comunicação nas primeiras horas após descoberta
  • Transparência: Ser honesto sobre o que aconteceu e impactos
  • Consistência: Mensagem única coordenada entre todos os canais
  • Empatia: Reconhecer impacto nos afetados
  • Proatividade: Antecipar perguntas e preocupações
  • Continuidade: Updates regulares mesmo sem novidades significativas

Stakeholders e Audiências

Internos

  • C-Level e Board: Briefings executivos, impacto financeiro/legal
  • Colaboradores: Instruções práticas, tranquilização
  • TI e Segurança: Detalhes técnicos, coordenação de resposta
  • Jurídico e Compliance: Implicações legais e regulatórias

Externos

  • Clientes: Impactos diretos, medidas de proteção
  • Parceiros/Fornecedores: Exposição na cadeia, colaboração
  • Mídia: Press releases, entrevistas controladas
  • Reguladores: ANPD, CVM, BACEN - notificações formais
  • Público Geral: Redes sociais, website institucional

Estrutura da Equipe de Comunicação

  • Crisis Communication Lead: Coordenador central da comunicação
  • Porta-voz Oficial: CEO, CTO ou executivo designado
  • Assessoria de Imprensa: Gestão de mídia e press releases
  • Social Media Manager: Monitoramento e respostas em redes
  • Customer Support Lead: Scripts para atendimento
  • Legal Advisor: Revisão de comunicações para conformidade

Timeline de Comunicação

Primeiras 2 horas:

  • Comunicação interna ao C-Level e CSIRT
  • Ativação do plano de comunicação de crise
  • Preparação de holding statement

Primeiras 6-12 horas:

  • Comunicação aos colaboradores (email interno)
  • Notificação a clientes diretamente afetados
  • Primeira comunicação pública (website/redes sociais)
  • Preparação de FAQ para support teams

Primeiras 24-48 horas:

  • Press release oficial com detalhes confirmados
  • Notificação a reguladores (ANPD: até 2 dias úteis)
  • Comunicação ampla a toda base de clientes
  • Briefing de acionistas/investidores se aplicável

Semanas seguintes:

  • Updates regulares sobre progresso de investigação
  • Anúncio de medidas corretivas implementadas
  • Relatório final e lessons learned (após resolução)

Templates de Comunicação

Holding Statement (inicial):

"Estamos cientes de um incidente de segurança que afetou [sistemas/dados]. Nossas equipes estão investigando ativamente e tomando medidas para conter o impacto. Manteremos nossos stakeholders informados conforme novas informações se tornem disponíveis."

Notificação a Clientes:

"Identificamos que [descrição do incidente] ocorreu em [data]. [Tipos de dados] podem ter sido expostos. Não encontramos evidências de [uso indevido]. Recomendamos que você [ações específicas: trocar senha, monitorar extratos]. Oferecemos [serviços de proteção/monitoramento]. Para mais informações: [canal de contato]."

Gestão de Mídia e Imprensa

  • Porta-voz Único: Evitar contradições com múltiplas vozes
  • Media Training: Porta-vozes preparados para perguntas difíceis
  • Bridging: Técnica para redirecionar perguntas inconvenientes
  • "No comment" é ruim: Sempre oferecer alguma informação, mesmo que limitada
  • Correção Rápida: Se houver imprecisões na mídia, corrigir imediatamente
  • Monitoramento: Tracking de menções em mídia tradicional e social

Comunicação em Redes Sociais

Estratégia para mídias sociais:

  • Monitoramento 24/7 durante a crise
  • Respostas rápidas (meta: < 1 hora)
  • Empatia e humanização (evitar respostas automáticas)
  • Encaminhamento a canais apropriados (suporte, privacidade)
  • Não deletar comentários negativos (transparência)
  • Correção de desinformação com fatos

O Que Evitar

Erros comuns de comunicação em crises:

  • Minimizar a gravidade ("incidente menor")
  • Culpar terceiros sem evidências
  • Prometer o que não pode cumprir ("nunca mais acontecerá")
  • Usar jargão técnico excessivo com público leigo
  • Silêncio prolongado sem atualizações
  • Comunicação defensiva ou combativa
  • Informações contraditórias entre canais
  • Ignorar obrigações legais de notificação

Melhores Práticas

  • [OK] Ter templates pré-aprovados juridicamente
  • [OK] Treinar porta-vozes antes da crise
  • [OK] Manter lista de contatos atualizada (24/7)
  • [OK] Coordenar com jurídico antes de comunicações externas
  • [OK] Documentar todas as comunicações
  • [OK] Realizar tabletop exercises incluindo comunicação
  • [OK] Monitorar sentimento e ajustar mensagem
  • [OK] Post-mortem incluindo análise da comunicação