Um ataque cibernético não precisa diminuir o preço das ações

Mais de 60% das empresas Fortune 1000 tiveram pelo menos uma violação de dados públicos na última década, de acordo com um relatório de pesquisa do Instituto Cyentia . Em uma base anual, estima-se que uma em cada quatro empresas da Fortune 1000 sofrerá um evento de perda cibernética. Há um ataque cibernético estimado a cada 39 segundos . Como costuma ser dito, “ não é uma questão de se , mas de quando você sofrerá um ataque cibernético. ” Você está preparado?

Um hack pode afundar o preço das ações de uma empresa e deixar os investidores furiosos. Na esteira do hack do Capital One, que foi divulgado publicamente em julho de 2019, o preço das ações da empresa caiu quase 6% imediatamente nas negociações após o expediente, perdendo um total de 13,89% em duas semanas. Da mesma forma, após o anúncio da violação da Equifax no início de setembro de 2017 , a empresa viu uma reação negativa semelhante no mercado de ações, com o preço de suas ações caindo de $ 142,72 para $ 92,98 em apenas uma semana . O que é pior, sua participação de mercado caiu significativamente em 2017 e tem lutado para se recuperar desde então.

Ser hackeado não precisa ser um desastre, entretanto. A violação do JP Morgan Chase em 2014, por exemplo, não impactou negativamente o crescimento de suas ações; na verdade, suas ações na verdade subiram ligeiramente. Esses resultados contra-intuitivos indicam que muitos fatores determinam as consequências dos incidentes de violação de dados. Eles também mostram que existem medidas que uma empresa pode realizar não apenas para mitigar danos à reputação, mas às vezes até melhorar sua posição. Nossa pesquisa e revisão de mais de 14 estudos publicados revelaram que as consequências de um incidente de violação de dados podem diferir dependendo do setor, do tamanho da empresa, do tipo de informação exposta e da estratégia de resposta. Aqui, vamos nos concentrar na estratégia de resposta da empresa, a área sobre a qual a empresa tem mais controle.

Como responder quando você é hackeado

Vamos começar com o que não fazer. Em primeiro lugar, não tente esconder que aconteceu. Estratégias como ocultar a existência do incidente ou encontrar desculpas para minimizar a responsabilidade da organização podem resultar em consequências ainda piores. Um exemplo é quando o  Uber pagou hackers por meio de seu programa de recompensa de bug  para encobrir um incidente de violação de dados em 2016. Quando o incidente foi divulgado publicamente em 2017, resultou em danos significativos à reputação do Uber e uma multa de $ 148 milhões da Federal Trade Commission em 2018 . E embora muitas empresas exibam o CEO para dizer “Lamento profundamente o que aconteceu” ou demitam o diretor de segurança, nenhum dos dois atos provavelmente ajudará muito.

Então o que você deve fazer? Existem dois conselhos importantes: 1) Lidere com o que você fez certo para se preparar para essa eventualidade, e 2) em seguida, analise como você vai melhorar ainda mais.

Liderar com as medidas de segurança cibernética já em vigor. Nossa análise mostra que tanto os clientes quanto o mercado de ações são tranquilizados por um CEO que se comunica imediata e efetivamente sobre os mecanismos de segurança cibernética que a empresa já possui. Transmitir que um investimento sério foi feito antes de um hack mostra que a empresa levava a segurança, e especialmente a privacidade de seus clientes, a sério. Mesmo que essas medidas não tenham impedido o ataque, discuti-las pode mitigar alguns dos danos: a criptografia de dados pode garantir a confidencialidade, um sistema de backup pode ajudar a acelerar a recuperação e a segmentação de rede pode isolar o incidente para reduzir a magnitude de o impacto. Se você está lendo isso e ainda não foi hackeado, agora é um bom momento para verificar as medidas de segurança como essas.

Pivote as melhorias planejadas.  Imediatamente após a violação, ações corretivas devem ser tomadas e divulgadas, como anunciar um grande aumento no orçamento para melhorar ainda mais a capacidade de segurança cibernética corporativa. A contratação de mais profissionais de cibersegurança para aprimorar os recursos internos de cibersegurança também pode contribuir para manter a confiança dos clientes. Por exemplo, após a violação do JP Morgan Chase, a empresa divulgou muitas informações sobre o ataque e dobrou seu investimento em segurança .

Além das melhorias internas, é aconselhável oferecer publicamente a todos os clientes um serviço de monitoramento, como o LifeLock, para ajudar a evitar qualquer abuso potencial de seus dados, como roubo de identidade. Fazer isso – e anunciar que você está fazendo isso – deixa claro que os clientes estão em boas mãos e que serão atendidos. Juntas, essas estratégias de recuperação pós-violação ajudaram as organizações a reduzir ou eliminar a queda negativa de curto prazo no preço das ações, de acordo com nossa análise.

Prepare-se agora

Essas respostas imediatas e bem planejadas são essenciais para restaurar a confiança. Mas mesmo que você nem sempre consiga evitar um ataque cibernético, pode se preparar para ele. Com muita frequência, vimos CEOs imediatamente fazerem declarações à imprensa – apenas para voltar atrás em horas ou dias – fazendo parecer que a empresa não sabe o que está fazendo. Claro, isso reduz seriamente a confiança na empresa.

Nossa pesquisa afirmou a importância dos exercícios de incêndio ciberataque para resolver isso. Isso envolve ter a alta administração, geralmente incluindo o conselho, participando de um ataque cibernético simulado para desenvolver e praticar procedimentos de resposta e estratégias de comunicação. Realizamos vários exercícios de incêndio com empresas: Apresentamos uma série de eventos – às vezes como videoclipes, como pode ser relatado nas notícias – e fazemos com que os executivos respondam a cada evento, após o que avaliamos o que funcionou bem e o que não funcionou, e que treinamento e preparação adicionais são necessários antes que um evento real ocorra. Se sua empresa ainda não está praticando exercícios de ataque cibernético, deve fazê-lo o mais rápido possível.

É importante ressaltar que um ataque cibernético é uma crise, mas também pode ser uma oportunidade. Os líderes devem se lembrar da orientação de Winston Churchill, “nunca desperdice uma boa crise”. Embora um ataque cibernético traga a empresa-alvo para o centro das atenções, ele também fornece publicidade gratuita para a empresa mostrar sua responsabilidade e esforços para proteger as partes interessadas, clientes, fornecedores e a comunidade. É por isso que um plano de ação e uma estratégia de comunicação bem ensaiados são tão importantes. Em vez de culpar a equipe de segurança cibernética ou funcionários ingênuos, as organizações devem transformar esses incidentes em oportunidades para melhorar e otimizar seus negócios, aumentando a transparência, melhorando a maturidade da segurança cibernética e melhorando a posição competitiva.

O melhor resultado do caso é reduzir, ou mesmo eliminar, o impacto negativo de curto prazo do incidente cibernético (como no preço das ações) por meio de uma estratégia de resposta sistemática e atitude proativa do cliente. Em seguida, transforme a experiência em um gatilho para o aprendizado organizacional expandido para criar um impacto positivo de longo prazo e inovação digital. Esta deve ser a missão de todo líder organizacional. Se todas essas coisas forem feitas e bem feitas, a empresa pode emergir melhor, mais forte e mais inteligente.

Agradecimento: Esta pesquisa foi financiada, em parte, por fundos dos membros do consórcio Cybersecurity at MIT Sloan (CAMS).

Fonte: https://hbr.org/2020/08/a-cyberattack-doesnt-have-to-sink-your-stock-price