Autor: Russell Roering
As horas, os dias e até os meses depois que uma empresa sofre uma violação de dados podem parecer os momentos mais difíceis.
As marcas mais confiáveis do mercado já sofreram a perda da confiança de seus clientes, danos à moral dos funcionários e sérias preocupações entre os acionistas. Uma pesquisa recente da Experian e do Ponemon Institute revelou que 54% das empresas acreditam que pode levar entre 10 meses e mais de 2 anos para restaurar a reputação de uma empresa após uma violação de dados.
A diferença no tempo de recuperação não é determinada somente pelo porte ou escala da violação; ela dependerá também de como a empresa reage à crise. Três grandes fatores são essenciais para ajudar na recuperação rápida de uma empresa: restauração da marca, gerenciamento construtivo de responsabilidades e prevenção da migração de clientes.
Recuperando a reputação da empresa
Em um mundo ideal, as empresas deveriam ter um plano para lidar com uma violação, muito antes de ela ocorrer. Porém, aproximadamente 30% das empresas ainda não contam com um plano, de acordo com Mike Bruemmer, vice-presidente de Resolução de violações de dados da Experian® no Atendimento ao cliente da Experian.
A implementação antecipada de um plano testado e de uma estratégia de delegação facilita muito o processo. Quando uma violação é exposta, a empresa precisa ativar o plano imediatamente, e o guia de recuperação deverá já estar nas mãos de profissionais experientes.
Como parte do processo de coleta de informações, as empresas devem também recrutar a expertise de investigadores de perícia, especialistas em relações públicas, serviços de monitoração de crédito/identidade e serviços de resolução de violações.
O foco deverá estar na “coleta de fatos e na tomada de decisões adequadas em relação a quem precisa ser notificado sobre a exposição de suas informações”, adiciona Bob Wice, líder do U.S. Focus Group para tecnologia, mídia e serviços empresariais da seguradora especializada, Beazley.
Anúncio das responsabilidades e o grupo de diretores
O advogado especialista Aravind Swaminathan, parceiro em grupos de prática de litígios, privacidade e segurança na empresa de advocacia mundial DLA Piper, recomenda que, após a conclusão da etapa de descoberta e coleta de informações, as empresas façam um único anúncio público, e não uma série de pequenos anúncios gradativos.
Vários anúncios podem dar a impressão de que "a violação não está sob controle ou que a empresa não entende seus próprios sistemas", afirma Swaminathan.
Bruemmer, Wice e Swaminathan concordam que a menos que um CEO tenha representado publicamente a empresa em situações de crise, o anúncio deve ser feito por um membro selecionado do conselho de diretores, como o diretor de riscos, diretor de tecnologia ou diretor de informática. Bruemmer afirma também que essa medida garante a precisão técnica dos relatos.
Acima de tudo, o anúncio deverá conter:
- Um pedido de desculpas e a admissão da responsabilidade pela violação
- Uma divulgação completa e transparente da natureza da violação, o que foi comprometido e como os consumidores podem se proteger
- Informações sobre a monitoração de crédito ou um serviço de sinalização/monitoração de crédito para consumidores que permita acompanhar as tarifas a fim de detectar cobranças incomuns
Tentar encontrar o culpado é muito menos relevante do que apresentar uma mensagem consistente e coesa e uma aparência unificada aos clientes.
Outra prática recomendada é o estabelecimento de uma força-tarefa especializada que se concentre na violação, enquanto os outros funcionários mantêm o mais alto nível de serviço para os clientes.
Prevenção da migração de clientes
Quando a violação se tornar um problema do passado, a empresa deverá continuar seus esforços para evitar o desgaste do cliente, causado pelo evento.
"Toda violação das informações de um cliente resulta em violação da confiança. As empresas precisam garantir que seus clientes reconheçam que toda e qualquer violação será levada a sério, independente do grau de comprometimento das informações. As empresas que priorizam o princípio da confiança ou que têm um relacionamento mais próximo com seus clientes correm um sério risco de perder um número significativo de clientes", afirma Swaminathan.
Prevenir a perda de clientes para a concorrência como resultado de uma violação é uma tarefa árdua. Wice menciona um estudo recente realizado pela Economist Intelligence Unit, que revela que mais de um terço dos clientes de empresas que sofreram uma violação de dados rescindiu os negócios com a empresa em questão "como resultado da violação".
À medida que as empresas se tornam mais inteligentes e lidam melhor com a prevenção e administração de violações, os consumidores passam a temer menos e a confiar mais, em vez de punir totalmente as empresas confiáveis.
Acesse o Symantec Connect para obter mais informações sobre como administrar uma mega violação.
Russell Roering é escritor e especialista em relações públicas, residente em Chicago.