Diante da maior democratização da comunicação propiciada pelas redes sociais, muito se fala sobre projetos que envolvem a preparação das empresas para os cenários de crise, resiliência e continuidade do negócio no ambiente digital.
Por Igor Buess e Alessandro Dinamarco
Entretanto, lidar com uma situação real é completamente diferente de realizar simulações ou testes. Isso porque os fatores psicológicos, o estresse e a pressão podem fazer com que ações, antes planejadas milimetricamente, sejam alteradas de última hora ou nem mesmo seguidas.
Para exemplificar esse contexto, há um mês, a mídia divulgou sobre a interrupção repentina dos serviços do Banco Santander. Os clientes não conseguiam efetuar quaisquer atividades em suas contas por meio do internet banking, aplicativo ou caixas eletrônicos.
Até mesmo o atendimento na “boca do caixa” foi interrompido. O impacto principal para o cliente final foi, evidentemente, a impossibilidade de pagar contas e transferir dinheiro. Contudo, por mais negativos que estes impactos fossem, o que mais chamou a atenção no evento foi a falta de informações ou explicações para os clientes.
Na disciplina de Continuidade de Negócios é ponto pacífico que a transparência em excesso ou a falta dela é contraproducente. Isto é, muita transparência pode revelar informações sensíveis sobre aspectos de um ambiente tecnológico, expondo a empresa a possíveis agentes mal-intencionados, como os hackers.
Num contraponto, a falta dela gera incertezas perante ao público e até especulações infundadas que podem prejudicar a imagem do negócio. Dessa forma, como muitas coisas na vida, o caminho ideal no que tange à transparência é a moderação.
Quando se fala em construção da Gestão de Continuidade de Negócios, há uma etapa crucial que é o acionamento do que se intitula “Comitê de Crises”.
Ele nada mais é do que um conjunto de colaboradores, ocupando geralmente cargos estratégicos, que terá a missão de coordenar as ações diante de situações que transpassam os limites internos da instituição que representam. Uma das ferramentas utilizadas por esse comitê é o conhecido “Plano de Comunicação”, que descreve responsáveis, formas, quando devem ocorrer, nível de detalhes e público-alvo das comunicações a ser feitas durante uma crise.
Neste incidente bancário foram feitas notificações nas redes sociais, porém houve alguns problemas nesse processo.
O primeiro foi que, ao invés de informar os clientes de forma proativa, ou seja, publicar uma nota sobre a indisponibilidade o quanto antes e que eles estariam trabalhando para resolver o problema, esperou-se surgir reclamações para, reativamente, responder às publicações dos clientes. Para o público geral ficou parecendo que queriam “não falar nada” e ver se o incidente passaria despercebido.
Outro ponto foi a falta de detalhamento sobre a razão da interrupção. Delinear o tipo de falha que estava ocorrendo iria tranquilizar os clientes.
Mesmo no caso de se tratar de um incidente como um ataque cibernético, a mera citação de que foi detectado o ataque e que as tratativas estavam sendo feitas, demonstraria postura responsável por parte da empresa, além de cumprir com a LGPD (Lei Geral de Proteção de Dados).
Entretanto, o nível de informação exposta nas publicações foi praticamente zero no que tange às causas. Isso abre margem para especulações, que prejudicam a imagem do negócio.
Mas, é preciso elogiar o comprometimento da empresa em ressarcir os clientes que tiveram seus pagamentos e outras atividades afetados. Por mais que isso possa representar um impacto financeiro, a longo prazo ajudará a reter os clientes. Ou seja, voltamos à questão da imagem da empresa perante os seus clientes, talvez o fator mais crítico de sucesso atualmente. Porém, vale lembrar que o ressarcimento dos prejuízos dos clientes por indisponibilidade do banco, é um dever legal, segundo o Código de Defesa do Consumidor.
As lições aprendidas com esse incidente podem ser aproveitadas para empresas dos mais diversos setores. Ter um plano de comunicação bem definido para situações de crise, considerando o grau de transparência dos informes, o momento de dispará-los e os canais de comunicação adequados, como redes sociais, websites e e-mails; definir um plano de compensação para clientes impactados de forma significativa e, se possível, estimar um prazo para a normalização dos serviços são práticas que devem ser seguidas.
Vale dizer que toda empresa passará, em algum momento de sua existência, por incidentes que geram interrupção dos serviços. Entretanto, a forma que ela lida com o incidente definirá a sobrevivência do negócio e sua reputação perante os clientes.
*Igor Buess e Alessandro Dinamarco atuam na área de Riscos e Continuidade de Negócios da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
ICTS Security nomeia Leandro Miquinioty como diretor de negócios
Na mira dos hackers: 7 dicas para evitar a clonagem de cartões
Leia mais sobre Privacidade e Proteção de Dados em nossa coluna dedicada a esse tema. São artigos sobre o que acontece no Brasil e no Mundo. Aqui!