Courtney Guss | Diretora de Gestão de Crises

Uma gestão eficaz de crises cibernéticas não se define por documentos ou modelos de maturidade. Define-se pela forma como uma organização reage nas primeiras horas de um incidente real — e pelos meios que utiliza para apoiar esses esforços.

Nesta série de artigos, temos vindo a explorar as razões pelas quais a gestão de crises cibernéticas falha tantas vezes quando mais importa.

No artigo «Repensar a gestão de crises cibernéticas: por que razão os planos falham — e o que devemos criar em vez disso», analisámos como os planos falham quando a tomada de decisões entra em colapso sob a pressão do mundo real — não porque as equipas estejam despreparadas, mas porque, quando os acontecimentos se desenrolam mais rapidamente do que o previsto, a autoridade, as prioridades e a responsabilização tornam-se pouco claras.

No artigo «A camada que falta na resposta a incidentes cibernéticos: a coordenação de crises», explorámos o que acontece a seguir. Mesmo quando as organizações sabem o que devem fazer, têm dificuldade em pôr isso em prática. A comunicação fica fragmentada. As responsabilidades tornam-se difusas. A informação está dispersa por demasiados locais. E, sem uma forma de coordenar as ações em tempo real, os esforços de resposta começam a desmoronar-se.

Nesta altura, os problemas são evidentes. Agora, a questão é: como podem as organizações resolver esses problemas de forma significativa e prática?

Como é, na prática, uma boa gestão de crises cibernéticas quando os planos cedem à pressão, as decisões têm de ser tomadas com informações incompletas e a coordenação determina os resultados?

A resposta a essa pergunta não começa com mais um modelo ou lista de verificação. Começa com uma visão clara dos comportamentos, estruturas e capacidades que definem, hoje em dia, uma gestão eficaz de crises cibernéticas.


Como se traduz uma boa gestão de crises cibernéticas num incidente real?

Apesar dos esforços crescentes para se prepararem para incidentes cibernéticos, muitas organizações continuam a ser apanhadas de surpresa pela realidade da gestão de crises cibernéticas.

Figura 1. Um estudo da Semperis revela uma discrepância significativa entre a preparação percebida e os resultados quando ocorre um incidente real. (Fonte: The State of Enterprise Cyber Crisis Readiness)

Isso não significa que essas organizações estejam erradas ao prepararem-se. Uma gestão eficaz de crises cibernéticas não implica abandonar o planeamento, a preparação ou os exercícios simulados. Na verdade, as organizações que gerem bem os incidentes são quase sempre aquelas que investem nesses esforços.

Os planos, os manuais operacionais e as simulações são importantes. Estabelecem um entendimento comum, revelam e questionam pressupostos e permitem que as equipas analisem cenários antes de a pressão se tornar real.

A questão não é que as organizações não realizem exercícios ou não elaborem planos — é que, com demasiada frequência, esses planos são elaborados e testados de formas que não se traduzem nas primeiras horas críticas de um incidente real. Muitos esforços de preparação centram-se no Plano A, sem ter em conta o que acontece quando esse plano falha. Quando o cenário previsto não se concretiza, as equipas sabem como se adaptar?

  • Existe um plano B — ou um plano C — a que se possa recorrer?
  • Estão todos de acordo com o que é mais importante?
  • Quem tem autoridade para tomar decisões críticas em tempo real?

Esteja preparado para adaptar o plano de gestão de crises

Quando ocorre uma verdadeira crise cibernética, os acontecimentos raramente seguem o guião. A informação é incompleta. As prioridades entram em conflito. Surgem novos riscos a cada minuto. Nessa altura, o valor da preparação já não se mede pela forma como as equipas seguem à risca um documento, mas pela eficácia com que conseguem aplicar o espírito do plano sob pressão.

Quando as equipas gerem bem uma crise, há alguns aspetos que se tornam imediatamente evidentes — mesmo para quem não está envolvido na resposta:

  • As decisões são tomadas sem longos debates sobre a autoridade
  • As ações avançam sem confusão quanto à titularidade
  • Os líderes podem ver o que está a acontecer sem terem de estar sempre a procurar atualizações
  • A organização mantém o controlo, mesmo quando as condições mudam

Isso não acontece porque a situação é simples.

Isso acontece porque a preparação é concebida de forma a resistir quando a realidade se afasta das expectativas.


Na sua essência, uma boa gestão de crises cibernéticas consiste na capacidade de transformar a preparação em ação coordenada — alinhando o discernimento da liderança com a execução em tempo real, ao mesmo tempo que se mantém a visibilidade, a responsabilização e a justificabilidade ao longo de toda a resposta.

Esse alinhamento é o que mais conta nas primeiras horas de uma crise.


Em incidentes mal geridos, as equipas estão frequentemente ocupadas, mas pouco coordenadas. A comunicação é constante, mas fragmentada. As decisões ficam paralisadas ou são revistas porque a hierarquia não é clara ou falta contexto. Os líderes baseiam-se em resumos em vez de uma visão partilhada, o que atrasa a resposta quando o tempo é essencial.

Em incidentes bem geridos, acontece precisamente o contrário.

  • A organização age de forma ponderada.
  • As pessoas certas envolvem-se desde o início.
  • A competência decisória é compreendida e exercida.
  • A informação circula através de um quadro operacional partilhado.
  • A execução adapta-se à medida que a situação evolui, sem perder a coerência nem o ímpeto.

E, acima de tudo, o sucesso não se define pela perfeição.

Toda crise envolve incerteza e a capacidade de rever as decisões à medida que surgem novas informações. O que define uma boa gestão de crises não é acertar tudo à primeira tentativa, mas sim manter a capacidade de agir, ajustar e defender as decisões à medida que a situação se desenrola.

Essa capacidade não resulta apenas do planeamento. Resulta da preparação da organização para agir quando os planos se deparam com a realidade.


Concentre-se no que mais importa: o norte para a tomada de decisões em situações de crise

Antes de se poder exercer a autoridade de forma eficaz — e antes de a execução poder avançar com rapidez — é necessário que haja um consenso sobre algo mais fundamental: o que é mais importante quando as escolhas difíceis se tornam inevitáveis.

Em todas as crises cibernéticas, as organizações enfrentam decisões que não podem ser resolvidas apenas com precisão técnica.

  • Não é possível restaurar todos os sistemas de uma só vez.
  • Não é possível eliminar todos os riscos ao mesmo tempo.
  • A informação chega de forma irregular.
  • O tempo é limitado.

Nesses momentos, a questão não é simplesmente quem tem autoridade para decidir, mas sim qual deve ser o objetivo dessas decisões.


As organizações que enfrentam dificuldades durante as crises muitas vezes carecem desse alinhamento. As equipas atuam de acordo com prioridades diferentes, por vezes contraditórias:

  • A segurança centra-se na contenção.
  • A TI centra-se na restauração.
  • A área jurídica centra-se na exposição.
  • Os líderes empresariais privilegiam a continuidade.
  • A comunicação centra-se na reputação.

Essas perspetivas não estão erradas. Mas, sem um norte comum, elas competem entre si em vez de convergirem.

As organizações que gerem bem as crises cibernéticas investem tempo desde o início a definir em conjunto o que é mais importante quando a pressão é maior. Esse alinhamento pode centrar-se na proteção da segurança dos pacientes, na preservação da confiança dos clientes, na manutenção das operações críticas, no cumprimento dos prazos regulamentares ou na minimização dos danos à reputação a longo prazo.

As prioridades específicas variam consoante a organização. O que importa é que sejam compreendidas, acordadas e postas em prática antes do início de uma crise.

Quando existe este alinhamento, a tomada de decisões torna-se mais clara — mesmo quando os acontecimentos não seguem o plano. Os líderes conseguem improvisar sem se desviar do rumo. As equipas conseguem adaptar-se sem se fragmentarem. As decisões tomadas em momentos de incerteza mantêm-se alinhadas com os valores e as obrigações da organização.

É aqui que muitas iniciativas tradicionais de preparação ficam aquém do esperado. Os exercícios de simulação centram-se frequentemente em ações específicas para cada cenário, em vez de se basearem em compromissos orientados por prioridades. Os planos descrevem os passos a seguir, mas não a intenção empresarial subjacente. Quando a realidade diverge das expectativas, as equipas perdem o rumo — não porque não saibam o que fazer, mas porque não têm a certeza do que estão a tentar otimizar.

O alinhamento muda isso.

  • Quando as prioridades são claras, a autoridade pode ser exercida com determinação.
  • Quando as prioridades são partilhadas, a execução torna-se mais rápida e mais consistente.
  • Quando as prioridades são claras, a coordenação melhora, mesmo à medida que as condições evoluem.

Esse alinhamento deve estar presente no mesmo ambiente operacional em que se dão a tomada de decisões e a execução. Se as prioridades existirem apenas em documentos de política ou apresentações de slides, desaparecerão sob pressão. Quando estão integradas na forma como as crises são geridas — refletindo-se na priorização de tarefas, na fundamentação das decisões e na visibilidade da liderança —, continuam a orientar o comportamento quando é necessária improvisação.


A orquestração desempenha aqui um papel fundamental.

Plataformas como Ready1 não se limitam a ajudar as equipas a coordenar ações; ajudam as organizações a alinhar as atividades de resposta com as prioridades acordadas em tempo real. Ao tornar as decisões, as ações e o contexto visíveis num único local, a orquestração garante que a improvisação se mantém alinhada, em vez de dispersa.

Numa crise cibernética, é o alinhamento que permite que a autoridade funcione e que a execução se concretize. Sem ele, mesmo funções claramente definidas e uma comunicação rápida podem levar as equipas a seguir rumos diferentes. Com ele, a organização pode avançar em conjunto, guiada por um entendimento comum do que realmente importa quando mais importa.


Defina antecipadamente as competências para que as decisões não fiquem paralisadas

A falta de clareza nas competências e a comunicação fragmentada fazem com que as decisões fiquem paralisadas ou se fragmentem sob pressão. Quando finalmente se chega a um consenso, as oportunidades já se perderam, os riscos aumentaram e a confiança diminuiu.

Numa crise bem gerida, a autoridade para tomar decisões não é determinada no meio do incidente. Já foi exercida anteriormente, é compreendida por todas as equipas e reforçada através de uma preparação que reflete as condições reais.

Isso não significa que os líderes determinem antecipadamente todos os resultados. Significa que a organização acordou previamente quem decide, o que é importante, que compromissos estão autorizados a assumir e como essas decisões são comunicadas e executadas uma vez tomadas.


Um dos sinais mais evidentes de uma crise cibernética bem gerida é a rapidez com que a organização consegue tomar decisões — e mantê-las — enquanto a situação ainda está a desenrolar-se.


Quando a autoridade é devidamente preparada:

  • As equipas remetem as decisões para instâncias superiores em vez de debaterem quem é o responsável
  • Os líderes tomam decisões com confiança, em vez de hesitação
  • A execução avança sem esperar por aprovações informais
  • As decisões são documentadas naturalmente como parte da resposta

Muitas organizações interpretam mal o papel da preparação neste contexto. Os exercícios de simulação centram-se frequentemente nas decisões a tomar, mas raramente testam a forma como essas decisões são tomadas, comunicadas, atribuídas e acompanhadas quando a pressão é real.

Essa distinção é um fator decisivo.

Durante incidentes em tempo real, o desafio não é identificar a decisão «certa». Trata-se de garantir que a decisão se traduza em ação — de forma rápida, visível e consistente em toda a organização.

É nesta transição da decisão para a execução que a coordenação se torna essencial.

Sem uma coordenação adequada, mesmo uma hierarquia bem definida acaba por perder eficácia na prática. As decisões são comunicadas verbalmente, perdem-se nas conversas de chat ou são transmitidas de forma inconsistente. As tarefas são assumidas por iniciativa própria, em vez de serem atribuídas. Os líderes acreditam que as medidas estão a ser tomadas, enquanto as equipas aguardam esclarecimentos.

Com a coordenação em vigor, a autoridade é reforçada através da estrutura:

  • As decisões são registadas à medida que são tomadas
  • A titularidade é atribuída de forma imediata e explícita
  • A execução é visível para a liderança em tempo real
  • Os bloqueadores surgem logo no início, em vez de só depois de haver atrasos

O resultado não é a rapidez por si só, mas sim decisões que se mantêm válidas porque são executadas conforme previsto.

É isso que faz com que as primeiras horas de uma crise cibernética sejam decisivas — não porque todos ajam mais rapidamente, mas porque todos agem em conjunto, orientados por uma autoridade clara e por uma visão operacional comum.


Repensar a preparação para a realidade da gestão de crises cibernéticas

Ao longo desta série, tenho defendido que a gestão de crises cibernéticas falha frequentemente quando a realidade diverge das expectativas. Mas a solução não é planear menos — é preparar-se de forma diferente.

As organizações que gerem bem as crises não são aquelas que têm mais manuais de procedimentos ou árvores de resposta mais detalhadas. São aquelas que concentram a sua preparação no que é mais importante quando os planos falham — porque sabem que isso vai acontecer.

Uma preparação eficaz reconhece que a improvisação é inevitável e prepara a organização para improvisar com eficácia.

Isso significa resistir à tentação de complicar excessivamente os manuais de procedimentos, concentrando-se, em vez disso, nos cenários que representam uma ameaça real para a empresa: clientes, pacientes, segurança, operações, obrigações regulamentares e confiança.

Significa também preparar o processo de tomada de decisões, e não apenas os passos técnicos.

  • Quem decide quando as concessões são inevitáveis?
  • Que autoridade têm eles neste momento?
  • Que prioridades orientam as decisões quando a informação é incompleta e o tempo é curto?

Quando as organizações chegam a um consenso sobre estas questões antecipadamente, a improvisação torna-se disciplinada, em vez de caótica. As decisões evoluem, mas permanecem ancoradas em valores e responsabilidades partilhados.

A preparação também deve ser exercitada de forma diferente.

Os exercícios mais valiosos não são aqueles em que tudo corre conforme o planeado, mas sim aqueles em que as suposições falham — em que faltam informações, os sistemas se comportam de forma inesperada e as equipas têm de se adaptar em tempo real.

É aqui que a coordenação se torna essencial.

Os incidentes cibernéticos atuais não são apenas eventos técnicos — são crises empresariais que exigem discernimento da liderança, coordenação interdepartamental e responsabilização em tempo real.

As organizações que repensam a sua preparação — concentrando-se menos em guiões perfeitos e mais na improvisação coordenada — estão melhor posicionadas para enfrentar essa realidade.

Não se limitam a responder mais rapidamente.
Respondem com um objetivo definido.

E quando a próxima crise surgir, eles não se limitam a reagir. Eles gerem-na.


Saiba mais sobre como repensar a gestão de crises e a resiliência cibernética