Os ciberataques a empresas e organizações têm crescido exponencialmente no contexto pandémico. De acordo com o Relatório Anual de Segurança Interna (RASI) em 2020 as autoridades portuguesas registaram um aumento de 93% de incidentes de cibersegurança face ao ano anterior, com o phishing no topo dos ataques. As empresas viram-se obrigadas a refletir sobre o chamado “nível de maturidade de segurança” para prevenir danos operacionais e económicos, mas estarão a contemplar devidamente os danos de reputação?
Recentemente, no dia das mentiras, assistimos a um ataque concertado à imagem de empresas de energia em 16 cidades europeias. A campanha de guerrilha #CleanGasIsADirtyLie, coordenada pelo grupo de ativistas Gastivists Network, materializou-se em anúncios falsos em paragens de autocarro, usando os logótipos das empresas para tecer acusações ao gás natural. Em Portugal, os jornalistas receberam um comunicado de imprensa falso, com origem no email habitual da Galp, anunciando a desistência do projeto de gás da empresa em Moçambique. As notícias foram imediatamente desmentidas, e o tema passou a ser a campanha, entretanto dinamizada nas redes sociais.
Ainda que este exemplo tenha provocado solidariedade pelas empresas afetadas, em alguns casos vinda do espectro político, demonstra como nenhuma entidade está imune ao risco de ver as expectativas dos seus grupos de interesse minadas por ações alheias.
Neste contexto, importa ter em conta as diferentes fases da gestão dos riscos cibernéticos: a fase de prevenção, em que recorremos a ferramentas específicas para antecipar ameaças, vulnerabilidades e riscos de cibersegurança e o respetivo impacto reputacional; a fase de prevenção, na qual trabalhamos para evitar ou mitigar os riscos que são mais prejudiciais para a organização, através da criação de protocolos e de formação das equipas; a fase de resolução, na qual respondemos aos riscos que se materializaram com a comunicação omnicanal dirigida às comunidades da empresa e monitorizando a perceção pública em tempo real através dos media, redes sociais e inquéritos; por fim, a fase de recuperação, orientada para o reforço da resiliência da empresa ou organização afetada. É o momento de analisar as causas e os efeitos e planear medidas corretivas que minimizem impactos futuros.
Os ciberataques são um sério e crescente desafio ao “capital social e relacional” (licença de funcionamento, reputação, marca, recomendação, etc.) de qualquer entidade. No entanto, na larga maioria das organizações, ainda existe um longo caminho a percorrer na prevenção e preparação para crises de reputação derivadas de ameaças cibernéticas.
Se tem interesse em saber mais sobre a identificação e avaliação de riscos de reputação, sugerimos descarregar: «Como antecipar riscos de reputação combinando inteligência humana e artificial«.
