O período logo após uma violação de dados não é fácil para as empresas. Muito tempo e dinheiro são gastos para administrar efetivamente uma crise, com ainda mais tempo e dinheiro para lidar as consequências da invasão.
Essas despesas incluem a equipe de TI e segurança atualizando suas soluções de segurança; gestão e RH conduzindo treinamentos de segurança para os funcionários; e a equipe de gestão de crises conversando com clientes, stakeholders e público em geral para recuperar a confiança. A forma como uma empresa gerencia uma violação de dados afeta diretamente sua reputação após a poeira assentar.
Para entendermos o que as pessoas pensam sobre as empresas depois que uma falha de segurança é detectada e informada, entrevistamos mil pessoas nos Estados Unidos para sabermos quais empresas elas voltariam a se relacionar depois que uma sofresse uma violação. Descobrimos que os consumidores são mais propensos a voltar a comprar em uma loja de varejo que usar um serviço de compartilhamento de viagens.
- Com qual empresa você estaria propenso a comprar depois de uma violação de dados?
– Varejo – 42%
– Hotel – 20%
– Bancos – 17%
– Redes sociais – 14%
– Compartilhamento de viagens – 7%
Em cada setor, incluímos os nomes de empresas que sofreram violações.
Pessoas confiam nos varejistas
A violação da Target, gigante do varejo norte-americano, foi detectada em 16 dias e divulgada ao público 20 dias após sua descoberta. A empresa foi duramente criticada pelo tempo que levou para notificar o público sobre a violação, uma das maiores da época, e que gerou muitas discussões sobre segurança de PDV, segurança de dados e outras preocupações que nunca haviam sido debatidas anteriormente. Devido aos seus esforços para melhorar a segurança e recuperar clientes, a Target conseguiu melhorar sua reputação nos anos seguintes a violação.
Meses depois da violação, a Target implementou aprimoramentos no monitoramento e registro, revisão e limitação de acesso a fornecedores e acesso às contas. Sua atitude e rapidez podem ter influenciado positivamente a opinião pública. Além disso, ter uma base fiel de clientes também pode ter sido útil para sua recuperação. O Huffington Post atribui essa lealdade à conveniência, apelo visual e forte sendo de comunidade que a empresa oferece aos clientes. O investimento em atendimento ao cliente também foi citado pela Forbes como outro fator que contribuiu para sua reputação.
No ano seguinte a violação, a percepção do consumidor da Target caiu 54,6%, com um aumento geral e constante de 84% de 2014 a 2018, com uma ligeira queda em 2016, provavelmente atribuídas à postura da empresa em permitir que clientes transgêneros usem vestiários e banheiros para o gênero que se identificam.
Pessoas confiam menos nas empresas de viagens compartilhadas
A violação da Uber ocorreu em outubro de 2016 e foi descoberta um mês depois. A empresa optou por pagar US$ 100 mil aos hackers para excluírem os dados e não divulgarem o incidente. Apenas em novembro de 2017, a empresa divulgou a violação e a repercussão foi enorme, incluindo multas, protocolos de segurança sancionados e queda na confiança do cliente.
No estudo, descobrimos que mais pessoas confiavam em setores antigos, como varejo e hotéis, do que em setores mais novos – a Target nasceu em 1902 e a Uber em 2009, com outro nome, e a indústria de compartilhamento de veículos surgiu, apenas em 2007. Isso significa que as empresas de setores mais recentes, precisam ser mais cuidadosas sobre como lidam com os dados dos clientes.
Além disso, a Uber teve outras controvérsias em sua curta história. Esses problemas provavelmente também contribuíram para a queda na percepção do cliente que caiu 141,3% no ano em que a violação foi divulgada.
Influência da idade e gênero na reputação de uma empresa após a violação
Descobrimos que a geração Y, ou millenials, se mostravam menos confiantes em relação às diferentes instituições após uma violação de dados.
- Geração Y – 26%
- Baby Boomers – 34%
- Geração X -40%
Estudos mostram que a Geração Y é muito complicada quando se trata de confiar. A revista CIO divulgou que eles geralmente desconfiam dos negócios. Já para a Forbes, eles já confiaram, mas isso vai ruindo à medida que as violações de dados aumentam em larga escala.
Em relação ao gênero, o mercado no qual a empresa está inserida é capaz de influenciar os clientes. Por exemplo, as mulheres tinham mais probabilidade de fazer compras com varejistas depois de uma violação de dados. Também detectamos que os homens usam a Uber um pouco mais que as mulheres.
A relação entre violações de dados e reputação
Os consumidores se importam com as violações de dados e como as empresas os gerenciam. Se uma violação foi mal administrada, a confiança cai, eles se afastam da empresa, divulgam a violação e passam a comprar de um concorrente que considerem mais seguro. O IDC apontou que 80% dos consumidores em países desenvolvidos abandonam uma empresa se suas informações estiverem comprometidas.
Uma pesquisa da Interactions Marketing mostrou que:
- 85% dos clientes dizem aos outros sobre sua experiência
- 33,52% usam as mídias sociais para reclamar sobre a experiência
- 20% comentam diretamente no site do varejista
A reputação negativa, especificamente causada por uma violação, pode prejudicar a reputação geral da empresa e isso pode afetar seu resultado final.
Dicas para se recuperar de uma violação de dados
Agora que sabemos os fatos, quais as ações que devem ser tomadas após uma violação?
- Seja a primeira fonte a dar a notícia
Isso permite o controle da narrativa e mostra transparência em relação à violação - Envolva-se em iniciativas de compartilhamento de dados sobre ameaças
Grupos compartilham essas informações para instruir o setor de segurança sobre ameaças em evolução - Implemente um plano de notificação
É preciso notificar clientes, funcionários, público e stakeholders. Envolva as áreas da empresa na tarefa:
– Profissionais de TI e segurança
– Jurídico
– Relações públicas - Contrate um CISO e outros profissionais de segurança
- Seja transparente
Todos os envolvidos devem ter acesso às informações disponíveis: consumidores e autoridades. Mas tome cuidado com o que divulgar. Muitas informações na hora errada podem dar a outros hackers conhecimento para iniciar outro ataque - Avalie regularmente e relate as melhorias na segurança
Construir uma relação de confiança com o público inclui o monitoramento ativo e mais trabalho para evitar ataques
Estudo da Statista demonstrou que 73% das pessoas consideram extremamente importante corrigir o problema e interromper a violação de dados após eles terem sido comprometidos.
Erros que devem ser evitados
- Não pague nada aos hackers
Não valide esse “trabalho” como uma fonte de renda - Não espere para notificar
Quanto mais demorar, pior serão as consequências - Não faça declarações definitivas até confirmar todos os fatos
Corrigir uma informação só piora a situação. Ofereça informações atualizadas sobre os prazos para confirmar o que aconteceu e seja claro sobre os motivos para não divulgar informações naquele momento
A forma com que uma empresa gerencia uma violação de dados afeta sua reputação e a percepção do consumidor. O tempo necessário para responder e conter uma violação é um fator importante na percepção do público sobre uma empresa.
Não coloque sua empresa em risco e deixe sua reputação ao acaso. Saiba quem está fazendo o quê com os dados da sua empresa. Rastreie e monitore atividades, analise o comportamento dos usuários e reporte todas as ações que estão acontecendo. Faça um teste gratuito do Varonis DataAdvantage.
O que devo fazer agora?
Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:
Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.
Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.
Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.