Silêncio ou comunicação em caso de cibercrise - o que fazer?

A importância da comunicação de crise é progressivamente mais relevante no quotidiano das organizações e está constantemente na ordem do dia. Se sente que a Comunicação de Crise é um desperdício, desengane- se, porque não o é.

Imagine: duas organizações vivem uma cibercrise. Uma organização tem uma excelente resposta operacional durante a cibercrise, mas a comunicação de crise é incongruente e a perceção pública é a de que algo falhou. Uma outra organização tem uma resposta operacional pouco eficaz durante a cibercrise, mas a comunicação de crise possui estratégia, tem um conteúdo alinhado e a perceção pública é a de que a organização soube responder.

Quer um cenário, quer outro não são os ideais. A comunicação de crise só é verdadeiramente eficaz quando existe congruência, equilíbrio entre a vertente operacional e a comunicacional, o que proporciona uma estabilidade e robustez reputacional. São os dois lados da mesma moeda.

Existem outros dois cenários muito habituais durante uma cibercrise: a ausência de comunicação, onde nada é comunicado; e a comunicação precipitada, onde se comunica imediatamente sem calcular riscos. De ambos os cenários tende a resultar uma crise maior.

Quando não existe qualquer comunicação, pode suceder algo semelhante ao caso de Joe Sullivan, ex-Chefe de Segurança da Uber. Joe Sullivan foi condenado em 2022 por mentir sobre um ransomware em 2016, onde foram roubados dados de 57 milhões de clientes. Sullivan escondeu aos stakeholders e à administração que orquestrou um pagamento de resgate para manter os hackers sob controle. Só que, em 2019, os hackers deram-se como culpados e agora Sullivan pode incorrer numa sentença de prisão. Que conclusão podemos retirar? Não comunicar é aumentar o nível de risco. É enterrar a cabeça na areia. E, mais cedo ou mais tarde, tudo se descobre.

Negar um roubo de dados pode piorar as coisas. Mas quando estes aparecem na Dark Web, já não há volta a dar. E o que pode acontecer a seguir? De preferência não piorar o que já é mau. Um exemplo de uma situação que se ajusta a esta descrição é o caso do vídeo difundido pela TAP, semanas depois do ciberataque. Primeiro, o desfasamento temporal torna a comunicação nula, sem capacidade de fortalecer a imagem da instituição; segundo, piora quando anteriormente o comunicado da transportadora aérea dizia que tinha conseguido bloquear o ataque e que não tinha sido apurado qualquer facto que permitia concluir ter havido acesso indevido a dados de clientes.

Tal como noutros países, o panorama empresarial português está ainda preso a um mindset reativo e não preventivo. É muito comum ouvir “enquanto não se falar, a crise não existe”, “é o que é”, “se acontecer, logo se vê” ou ainda “nós até somos bons a improvisar”.

Este mindset é completamente contrário ao que defendem os profissionais da gestão e comunicação de crise. Ian Mitroff, especialista em Gestão de Crises, abordou este mito da infalibilidade e até utilizou uma expressão que ouvia “We are so big that nothing can happen to us”.

Na Gestão e Comunicação de Crises, a preparação é para o pior, ou seja, para os cenários mais perigosos, mais prováveis, raros, inesperados e que podem criar danos elevados ou até desproporcionais, os chamados cisnes negros.

Com a crescente frequência de ciberataques, atrevo-me a afirmar que estes encaixam na categoria dos mais prováveis. Por isso, a pergunta emerge naturalmente: Silêncio ou Comunicação em caso de ciberataque – o que fazer?

Estou certa de que a comunicação é das últimas situações a ser abordada dentro da maioria das organizações. Isto porque a forma mais fácil de reagir é não comunicar. Na minha perspetiva, é de extrema relevância inverter o silêncio. Eis algumas razões que a sustentam:

O silêncio durante uma crise é visto como uma falha em fornecer respostas claras e adequadas às preocupações dos stakeholders. Significa isto que o silêncio é um vácuo de informações que podem ampliar a crise, dando espaço para especulações, perda de confiança e até manifestações quando a insatisfação é maior.

O silêncio pode ser um risco para o negócio. Alguns estudos apontam para que o silêncio seja visto como um sinal de culpa, ou até mesmo ser interpretado como negligência, indiferença, uma posição fraca por parte de uma empresa.

Por outro lado, há também quem defenda a ideia de que o silêncio é uma estratégia de comunicação de crise. O silêncio não é uma estratégia de comunicação de crise. Não existe qualquer teoria ou base científica que sustente esta ideia. É uma falsa ideia. O que existe é uma maior ou menor tolerância ao silêncio, dependendo das culturas onde ocorre a situação de crise. Por exemplo, no Japão, o silêncio é socioculturalmente aceitável. Já o silêncio na cultura chinesa é preferencial por evitar a comunicação ou desviar a atenção.

Regra geral, o silêncio (a não comunicação), intensifica as perceções negativas de uma empresa, proporciona a polarização de opiniões e o agravamento do vácuo de informações.

Em crises, sejam estas ao nível cyber ou outras, a responsabilidade obriga à tomada de decisões com pouca informação e num curto espaço de tempo. É preferível uma holding statement do que o silêncio numa crise. Esta pode ter pouca informação, até porque no início de uma cibercrise as informações tendem a ser pouco precisas. O estado de preocupação com que se está a comunicar pode conter alarmismo ou direcionar os seus públicos na direção desejada.

É vital treinar os colaboradores sobre o que podem dizer ou como encaminhar algum tipo de solicitação durante um ciberataque. Se não o fizer, está a proporcionar oportunidades para que o “novelo de lã” fique mais emaranhado. Por outras palavras, se não instruir o seu público interno pode estar a atrapalhar toda a estratégia de comunicação.

Em síntese, durante cibercrises, optar pelo silêncio ou pela comunicação com os seus stakeholders é uma decisão absolutamente relevante. A decisão que tomar pode determinar os resultados financeiros e, sobretudo, a reputação da sua marca. Quer deitar a perder tudo o que durante tantos anos construiu?