La ciencia ficción se volvió realidad: ya vivimos en una época en donde prácticamente es cosa de todos los días el enterarnos de un incidente de seguridad informática, hackeo, filtración de información, ciberterrorismo, un nuevo virus o troyano, extorsiones cibernéticas, suplantación de identidad, etc.Las noticias sobre la fuga de información de grandes compañías dan la vuelta al mundo, desestabilizan las bolsas, alteran a inversionistas y hasta ponen en jaque a gobiernos. Ésta es nuestra realidad.
Por todo lo anterior, es esencial para las compañías el considerar un plan de atención a crisis en caso de algún incidente informático, ya que nadie es inmune. A continuación, hablaremos del tema.
¿Qué hacen mal las compañías en caso de una crisis de hackeo?
El principal problema de las compañías es tratar de ocultarse, lo cual suele ser lo primero que hacen. Así mismo, generalmente tardan demasiado en dar la cara y en reconocer el error y sus consecuencias.
Es imperativo ser transparente respecto al asunto, pues la imagen de la empresa podría estar comprometida no sólo entre clientes y público en general, sino también entre accionistas.
¿Qué sí hacer en una crisis de data leak para convertirla en una oportunidad?
Se cree que crisis es sinónimo instantáneo de oportunidad y que, al salir de ella, todo mejorará de inmediato, pero esto no es así forzosamente (lee sobre TAESA líneas abajo). Recuerda que nada habla mejor de una empresa que la forma en que se comporta durante una crisis, así que es importante dar los pasos correctos para convertir realmente una crisis en oportunidad:
- Salir a dar la cara: reconocer la situación.
- Emitir un mensaje de contención que tranquilice a cualquier afectado, donde se indique la solución que se llevará a cabo, la compensación que se dará a los afectados (en caso de ser necesario), y el plan de prevención para evitar futuros ataques y/o errores de este tipo.
- Contener a los periodistas: en el mensaje se deben responder todas las posibles preguntas que haría la prensa con el fin de que sea la empresa quien establezca la agenda, y no los medios de comunicación.
- Al planear tu mensaje, recuerda las famosas “C”: coherencia, claridad y consistencia.
¿Qué no hacer en una crisis de data leak?
- Mentir u ocultar información relevante.
- Ser inconsistente con los valores de la empresa.
- No tener a nadie que dé la cara: recordemos que el vocero de crisis no tiene que ser forzosamente el CEO o el director de comunicación. Se debe elegir a un vocero empático.
El papel de la agencia de relaciones públicas y comunicación
Cuando se da una crisis de relaciones públicas, el papel de la agencia es crucial para salir avante, por lo que se realizarán una serie de actividades inmediatas:
- Lo más importante es entender que el pasado no se puede borrar. Hay que reconocer la crisis.
- Acciones para disminuir el impacto.
- “Operación cicatriz”: delimitar responsabilidades, sancionar a los culpables, prometer que no volverá a suceder nada similar, comunicar las acciones que evitarán que pase esto de nuevo.
Después de la crisis
En todo el tiempo que llevo trabajando en manejo de crisis, he notado que la mayoría de las empresas se enfocan demasiado en salir de ella, pero no en garantizar que las operaciones continuarán luego de superarla.
¿Recuerdan el caso de TAESA? Ésta era una aerolínea mexicana de bajo costo que se declaró en bancarrota después de que sucediera un accidente en 1999, en el cual murieron 18 personas. El hecho provocó una crisis de relaciones públicas que se agravó debido a anteriores problemas de seguridad y a que la compañía fue ambigua con su comunicación, pero lo más relevante es que no estaba preparada para soportar el posterior escrutinio riguroso de sus aviones y protocolos, los cuales eran deficientes. Además, luego del accidente se le negó un préstamo importante, gracias al cual extendería sus operaciones.
¿Cómo prevenir una crisis por hackeo?
Estoy convencido de que las crisis se pueden prevenir, por lo hay que considerar la elaboración de un plan de crisis. Para armarlo se consideran dos herramientas preventivas específicas:
- Matriz de riesgos, en la cual, en un ejercicio 100% transparente, se analizan cuáles son los riesgos que corre tu compañía. Uno de ellos debería ser la vulnerabilidad de data. Si tienes bien mapeados tus riesgos, sobre todo para crisis que no pueden prevenirse, el daño puede disminuir.
- Análisis de señales. Evidentemente, en retrospectiva esto es muy sencillo, pero hay que reconocer que vivimos en la época del WannaCry y de Panama Papers. Debemos poner atención a las crisis que han sufrido otras empresas o al contexto particular en el que nos desempeñamos.
¿Qué pasa en México?
A nivel global, menos de la mitad de las empresas tienen un plan concreto y por escrito para lidiar con una crisis (49%). Incluso, todavía son menos (32%) las que dicen que hacen simulacros o entrenamiento (fuente: estudio “A crisis of confidence”, Forbes Insights, a nombre de Deloitte Touche Tohmatsu Limited, 2016).
Si así están las cosas a nivel global, en México este número de empresas preparadas para una crisis aún es mucho más reducido. Lo ideal es contar con una iguala destinada específicamente a este rubro, no sólo para “apagar el incendio”, sino para prevenirlo, para elaborar la matriz de riesgos y, con base en ella, un plan de manejo de crisis.
Así mismo, hay que considerar que este tipo de servicios requieren inmediatez en medio de un contexto donde cada minuto cuenta, por lo que se requiere de profesionales experimentados para ejecutar las acciones correctamente.