Elaborar um plano de gerenciamento de crises
Objetivos de aprendizagem
Após concluir esta unidade, você estará apto a:
- Descrever a importância de montar uma equipe dedicada de gerenciamento de crises.
- Listar as principais habilidades necessárias para criar um plano de gerenciamento de crises.
Criar uma equipe de gerenciamento de crises
O gerenciamento de crises é um componente essencial de qualquer programa de segurança no mundo de hoje. Proteger um negócio inteiro é um trabalho difícil principalmente porque qualquer possível vulnerabilidade pode se tornar o próximo ponto de ataque. Por essa razão, muitas organizações se concentram principalmente em como prevenir e defender, sem focar o suficiente em instituir um gerenciamento de crises.
Criar um Plano de gerenciamento de crises
Os aspectos a seguir são vitais para a criação de um plano de gerenciamento de crises.
-
Montar uma equipe multidisciplinar. O escopo da equipe inclui liderança executiva dos departamentos de operações, finanças, jurídico, comunicação, recursos humanos e tecnologia.
-
Chamar especialistas terceirizados. Use especialistas técnicos, jurídicos, de relações públicas e de seguros durante uma grande crise para ter perspectivas imparciais.
-
Identificar os principais contatos com os departamentos de polícia e regulatórios. Estabeleça esses contatos antes que ocorra uma crise para que tudo corra bem na resposta a um desastre.
-
Ter um plano altamente detalhado. Líderes eficazes pensam nos detalhes antes de uma crise ocorrer, a fim de orquestrar indivíduos com diferentes funções e responsabilidades.
-
Considerar caminhos alternativos de comunicação. Líderes experientes consideram mecanismos de comunicação que não dependam da infraestrutura organizacional central.
-
Manter cópias impressas como backup. Isso se refere a procedimentos, contatos e outras documentações essenciais.
-
Garantir o cumprimento das leis regulatórias globais. Verifique se a organização cumpre o previsto em lei para responder a um incidente.
-
Concentrar-se em se preparar para uma variedade de crises. Considere as motivações e objetivos de vários ataques em potencial.
-
Praticar exercícios regulares de simulação em mesa. Simule os processos de tomada de decisão e comunicação usando um cenário de vida real plausível para garantir a preparação.
-
Ter um plano para comunicação pública. Se a organização não se comunicar, outros o farão, e muitos "especialistas" ficarão felizes em especular.
-
Manter a vigilância durante o tempo de inatividade dos negócios. As violações ocorrem frequentemente durante esses períodos (por exemplo, fora do horário de expediente, durante a temporada de férias).
-
Evitar a dependência excessiva da tecnologia. Na resposta a uma crise, sistemas e comunicações podem não estar disponíveis. Planeje recursos alternativos.
Ao preparar seu plano de gerenciamento de crises, tenha em mente que a pontualidade é tão importante quanto a transparência. Mostrar aos seus clientes que você leva sua privacidade e segurança a sério e responder em tempo hábil e com transparência pode manter os clientes e proteger a reputação da organização mesmo diante das adversidades. Tenha em mente que as comunicações devem ser simples, dar instruções claras aos clientes sobre os próximos passos e ajudar a proteger contra exploração por agentes mal-intencionados. Verifique se seus clientes sabem distinguir comunicações legítimas de fraudulentas e ofereça métodos de verificação alternativos, como um número de telefone pelo qual eles possam pedir por mais informações.
Resumo
Nesta unidade você aprendeu mais sobre como e por que as organizações devem colocar em prática um plano de gerenciamento de crises. Você aprendeu a tirar proveito de equipes multifuncionais, comunicação de documentos e processos de gerenciamento e a colocar em prática canais de comunicação de backup. Agora que você sabe mais sobre como gerenciar uma crise, vamos aprender sobre planejamento para se recuperar de um desastre natural ou ataque cibernético.
Recursos
-
PDF: NIST: Guia de planejamento de contingência para sistemas federais de informação
-
PDF: NIST: Guia de tratamento de incidentes de segurança de computação
-
Site externo: SANS: Manual do encarregado de incidentes