El 5 de abril de 2018, Reuters reportó que la tienda departamental Sears y la aerolínea Delta habían sido víctimas de una violación de datos a través de la empresa que les provee de servicios en línea, [ 24]7.ai.
Sears mencionó que fue notificada a mediados de marzo del incidente, el cual expuso los datos de tarjetas de crédito de aproximadamente 100,000 de sus clientes. Por su parte, Delta dijo que no se ventilaron datos personales de pasaportes, identificaciones gubernamentales, de seguridad o de su programa de lealtad “SkyMiles”; sin embargo, no pudo precisar de cuántas personas había sido comprometida su información.
Apenas la semana anterior a esta noticia, las tiendas Saks y Lord & Taylor también dieron a conocer que habían sido víctimas de una violación de datos...
Estamos en la era de los datos y la frase “información es poder” ya pasó de ser un cliché de productos culturales sobre política a ser un mantra de todos los días para millones de personas en el mundo. Es por ello que los incidentes de violación de datos se han incrementado y cada vez son más peligrosos, grandes y millonarios.
Al respecto, 2014 fue un año particularmente complicado: de acuerdo con información publicada en Cogent Business & Management, ese año los hackers tuvieron acceso a alrededor de 85 millones de cuentas de consumidores de grandes cadenas de almacenes como Target, Michaels, Neiman Marcus, Home Depot y Staples.
Las consecuencias de estos incidentes fueron graves (las compañías sufrieron baja en sus acciones, pérdidas y gastos multimillonarios para cubrir las consecuencias) y tomaron a todos por sorpresa respecto al manejo de crisis por violación de datos y hackeo.
Así mismo, estas situaciones evidenciaron la poca o nula preparación de las empresas respecto a relaciones públicas, reduciéndose su reacción ante el público y la prensa a simples comunicados dirigidos a los afectados para acallar la incertidumbre, pero en ninguno de ellos las compañías ofrecieron respuestas contundentes sobre cómo evitarían que esto volviera a pasar en el futuro, probablemente porque ni ellas sabían de cierto qué había sucedido.
De esta forma, durante los años subsecuentes siguieron ocurriendo más episodios similares que han vulnerado la información personal. Han sido tantos, que parece que ya son “normales” e “inevitables”, dado que los hackers suelen estar un paso adelante que las empresas respecto a ciberseguridad (no por nada las compañías los contratan bajo cifras millonarias para depurar sus sistemas).
Sea cierto o no que los ataques ya son “normales”, lo que es un hecho es que es esencial que las empresas se preparen para enfrentar una posible crisis de relaciones públicas provocada por una violación de datos.
¿Te imaginas lo que pasaría si todo tu trabajo de años de construcción de marca se arruine en minutos por un ciberataque? Pocas cosas son tan dañinas para una compañía que un titular de hackeo en un periódico. ¿Sabes si tu empresa está lista para una crisis así? ¿Qué mensajes debes emitir? ¿Cómo hay que reaccionar? De esto y más hablaremos a continuación.
Ya no te preguntes si te van a atacar, sino CUÁNDO te van a atacar.
De acuerdo a la encuesta de violación de datos y seguridad de PWC (2015) para el gobierno británico, 90% de las empresas grandes (Sony, Ashley Madison, VTech, entre otras) fueron víctimas de robo de información entre 2014 y 2015; en el caso de los pequeños negocios, fueron afectadas 74%.
Como ves, no se se trata de si te van a atacar o no, sino de cuándo (a menos que elimines toda huella digital de tu empresa y regreses a la era del papel y el lápiz), por lo que hay que estar preparado no sólo a nivel de la ciberseguridad, sino también de las relaciones públicas para lidiar con la crisis que se avecina, sobre todo porque la gran mayoría de las compañías afectadas no se dan cuenta de que están siendo vulneradas hasta muchos días, o meses, después del inicio del ataque, y eso es gracias a que los hackers hacen algo con la información robada, lo cual llama la atención de los consumidores afectados y, por ende, de la prensa. Para ese entonces, el daño ahora sí está hecho y evitar la crisis puede ser demasiado tarde.
¿Sabías que de acuerdo a un estudio de Deloitte, 33% de los consumidores confían MÁS en una compañía cuando ésta les avisa transparentemente que ha sido víctima de un hackeo?
¿Cómo elaborar un plan de prevención de crisis ante una violación de datos?
Antes de encontrarte en una situación así, te recomendamos que sigas estos 9 pasos:
- Decide qué personas de tu empresa formarán el equipo de comunicación ante una crisis o contrata una agencia de expertos para lidiar con ello. Define el rol de cada una y ante qué responderán en tiempo real.
- Haz un inventario de tus propiedades digitales, identifica posibles riesgos y amenazas, y realiza ensayos de impacto. ¿Utilizas mucho el email para mantener contacto con tus clientes? Asegúrate de que tu proveedor de correo sea seguro. También pon atención si tus colaboradores usan celulares de la empresa.
- Determina con exactitud qué documentos deberás presentar ante las autoridades y decide cómo deberá ser tu comunicación (reactiva o proactiva) ante la opinión pública, tomando en cuenta todas las implicaciones legales. Recuerda que tu reacción deberá ser diferente dependiendo de si eres una empresa pública o privada.
- Identifica a tus principales contactos en todas tus áreas clave de comunicación (consumidores base, socios, accionistas, empleados de gobierno, periodistas, influencers) y estrecha sus lazos con ellos siempre que sea posible. Trabaja junto con tu agencia y sus expertos en manejo de crisis y comunicación, los cuales pueden ser una extensión de tu equipo interno.
- Designa a alguien de tu empresa como vocero y asegúrate de que esté bien entrenado. Puede que necesites a varios voceros dependiendo del público al que deberán dirigirse. Trabaja de la mano con tu agencia para identificarlos y para entrenarlos.
- Define qué mensajes difundirás, cómo y en qué momento. Para ello, platica con tu agencia con el fin de establecer qué criterios se deberán cumplir para liberar determinados comunicados. Recuerda que una crisis por violación de datos puede durar horas, días y hasta semanas, y debes estar preparado para lidiar con ella durante diversas etapas. Ojo: la manera de comunicar el mensaje es igual o más importante que el mensaje en sí.
- No dejes de lado a los consumidores: define cómo podrían verse afectados y cómo los vas a ayudar. Así mismo, en este paso deberás definir cómo vas a comunicar las acciones a seguir para protegerlos y acompañarlos.
- Después de la crisis, deberás comunicar lo que has aprendido y las acciones que has tomado para evitar que esto vuelva a suceder.
- No olvides actualizar tu plan de crisis constantemente: recuerda que los hackers siempre van un paso más adelante y la tecnología cambia todos los días. Sigue ensayado, mantén “frescos” a tus voceros y no pierdas contacto con tu agencia.
Después de ser vulnerado, ¿qué?
Recuerda: las violaciones de datos cuestan dinero y, sobre todo, afectan gravemente la reputación de tu empresa. Cuando detectas que has sido afectado, las primeras horas son cruciales.
Lo primero que debes hacer es cerrar todos tus sistemas e identificar y aislar la zona afectada. Posteriormente, investiga si los hackers no han entrado a alguna otra de tus áreas.
Ahora bien, respecto a las relaciones públicas, lo primero que debes hacer es tranquilizarte, no entres en pánico, no contagies nerviosismo a tus empleados, únanse y trabajen en equipo. Recuerda que perder el control empeora la situación.
La respuesta corporativa que emitas dependerá del momento en que se descubra que has sido vulnerado. En realidad, una violación de datos es un error técnico, pero cuando sale a la luz (vía la prensa o los consumidores), tu respuesta debe enfocarse mucho más en en ser reaccionaria y en cuidar la reputación de tu empresa. Pero ya sea que el descubrimiento haya sido interno o externo, tus equipos técnicos deben trabajar de la mano con otras áreas (especialmente con relaciones públicas) para formular una estrategia de respuesta y así limitar el daño a tu compañía.
Antes de hablar públicamente del tema, establece qué se perdió, a quién afectará y cómo pasó, lo cual, de hecho, no sólo deberás decírselo a la prensa, sino también a las autoridades y consumidores.
4 acciones a seguir ante una emergencia.
Suponiendo que ya tienes tu plan de crisis listo, ¡es momento de aplicarlo! Sigue estos pasos:
- Comunícate.
¿Crees que ocultar la crisis te va a beneficiar? ¡NO! Es todo lo contrario. Habla de frente y claro con los afectados lo antes posible y pon énfasis en el cara a cara: no uses eufemismos, sé honesto, muestra pena y arrepentimiento, pon en práctica todo lo que has ensayado (lo afectados tendrán MUCHAS preguntas), sé claro, enfócate en mantener una buena relación con las víctimas, sé empático.
- Crea y publica tu primer comunicado.
Ya que les diste la cara a los que serán afectados directamente, es momento de publicar un comunicado general para todos los demás interesados, especialmente si crees que esta crisis podría trascender a la prensa o se podría hacer viral. Básate siempre en tu plan y facilita a la gente el encontrar tu versión de los hechos (ponla como sección principal del home de tu web, por ejemplo).
Cuenta tu historia, no mientas, sé honesto y transparente, menciona claramente las repercusiones del hecho y lo que harás al respecto, responde de antemano todas las preguntas esperadas, sé consciente del SEO para que tu comunicado sea lo primero que la gente encuentre sobre el tema cuando busque información.
- Asegúrate de que tu equipo de redes sociales está listo.
Monitorea lo que se dice de ti en las redes y da respuesta a las preguntas más relevantes. Ofrece información puntual, detecta rumores y fake news, y prepárate para insultos y bromas, no lo tomes personal.
- Vigila tu reputación en línea.
Relacionado con el paso anterior, si el hackeo ya atrajo demasiada atención, es muy probable que se haga viral en redes sociales, así que adelántate a todos los que quieran hablar del tema y sé tú el que establezca la agenda. Recuerda que el incidente puede tener eco muchos meses después de sucedido, así que debes monitorear las consecuencias.
El papel de las relaciones públicas ante una crisis por violación de datos
A continuación mencionaremos las principales funciones que tiene una agencia en caso de que te enfrentes a una situación de crisis por violación de datos, hackeo, fuga, etc.
- La primera y más importante es la planeación y la anticipación (elaboración del plan de crisis).
- Trabajar de la mano con las áreas clave de tu empresa relacionadas con la ciberseguridad para elaborar los planes de crisis.
- Media training para tus voceros.
- Conformación de un comité de respuesta inmediata ante crisis. Es importante que consideres que el staff de tu empresa puede que sepa mucho sobre datos y errores, pero no sobre manejo de crisis, es por ello que se recomienda tener un equipo de expertos para lidiar con ello y trabajar en conjunto con las áreas internas de la empresa afectada.
- Realizar ensayos constantes en conjunto con las áreas claves de la empresa para analizar diferentes escenarios.
- Mitigar el daño en caso de crisis.
- Entender las preocupaciones que tendrán los individuos afectados, los tipos de preguntas que hará la prensa y la forma en que reaccionarán los socios, accionistas y consumidores en general.
- Recuperación y rehabilitación de la marca después de una crisis.
- Actualizar constantemente el plan de crisis.
- Identificar qué es un incidente y qué no.
Este último punto pone sobre la mesa la gran importancia de elegir una agencia que sea experta en ciberseguridad, de tal forma que trabaje adecuadamente para contribuir a la continuidad de tus operaciones.
Casos de éxito y de horror frente a una violación de datos
Nadie está a salvo, ni siquiera los grandes, y como te mencionamos anteriormente, la cuestión aquí no es si te atacarán o no, sino cuándo.
He aquí sólo algunos ejemplos de empresas que fueron atacadas y las consecuencias que enfrentaron:
- Wal-Mart (2009): robo de información de sus cajeros; no se supo públicamente de esta vulnerabilidad porque se trató como un “problema interno”.
- Home Depot (2014): robo de 60 millones de números de tarjetas de crédito; los ataques duraron meses antes de ser descubiertos; el incidente afectó potencialmente a todos los tarjetahabientes de EUA y Canadá.
- Target (2013 - 2014): información de más de 110 millones de consumidores vulnerada; la compañía anunció que los gastos asociados a este hackeo ascendieron a 148 millones de dólares.
- Apple (2014): hackers lograron entrar a las cuentas de iCloud de celebridades como Jennifer Lawrence, Kate Upton y Kirsten Dunst, a quienes les robaron fotografías íntimas; se supo del ataque sólo días antes del lanzamiento de su iPhone 6, lo que afectó su debut económicamente.
- Neiman Marcus (2014): hackers accedieron al historial crediticio de sus clientes y activaron más de 60,000 alertas de actividad sospechosa que la compañía debió atender, pero no lo hizo; en un inicio se creía que el ataque había afectado 1.1 millones de tarjetas de crédito, pero al final sólo 9,000 fueron usadas fraudulentamente, de acuerdo a la compañia.
- Uber (2016): información personal expuesta de 57 millones de usuarios y de 60,000 conductores; la compañía tardó un año en reconocer la violación; le pagó a los hackers $100,000 dólares para ocultar todo rastro de su “trabajo”; su valor en el mercado decreció rotundamente.
Y la lista sigue y sigue: Yahoo!, Adult Friend Finder, eBay, Equifax, Uber, JP Morgan Chase, PlayStation Network, VeriSign, Adobe…
A continuación veremos brevemente un par de casos en donde se ponen en evidencia buenos y malos manejos de relaciones públicas en caso de un incidente como los que hemos visto.
El caso Anthem: la manera correcta de manejar la situación.
Primero veamos un caso positivo, el de Anthem, la segunda compañía de seguros de salud más importante de Estados Unidos.
Ella sufrió una violación de datos en 2015 por culpa de un password robado por unos hackers, quienes entraron a una base de datos de aproximadamente 78.8 millones de clientes actuales y antiguos, lo que significó el más grande ataque de la historia a la industria del cuidado de la salud, hasta ese momento.
Tras el incidente y con la ayuda de su agencia, Anthem aplicó los principios de oportunidad (tiempo) y transparencia ante este incidente con el fin de sobrevivir a la crisis y de mantener la confianza de sus consumidores.
Su primera acción fue ejecutar un plan de notificaciones a una semana de la violación de datos, pero también lanzó un micrositio al que se podía entrar a través de la página principal de la compañía. Dicho micrositio incluyó una sección de preguntas frecuentes y una carta de su CEO, la cual también se compartió en redes sociales y fue enviada a los clientes que eligieron recibir información sobre la compañía.
Por último, a todos los consumidores que fueron impactados por este incidente se les ofreció un servicio gratuito de monitoreo de servicios crediticios por dos años y un millón de dólares de cobertura de seguros por robo de identidad.
Como ves, las acciones de Anthem no “taparon el hoyo” por donde se fugó la información, pero sí mitigaron sus efectos dándoles confianza a sus consumidores, brindándoles las respuestas que necesitaban, mostrando que la compañía tenía control de la situación y evitando que esto se hiciera más grande. Lo anterior demuestra la importancia de tener un plan de crisis listo para estos casos.
El caso Target: lo que no debes hacer.
En contraste, veamos ahora el caso de Target, una de las cadenas de tiendas al por menor más importante de Estados Unidos.
En 2013, los datos de alrededor de 40 millones de tarjetas de clientes fueron comprometidos y la compañía tomó la decisión de no hacer público el incidente hasta que un famoso blog de seguridad lo ventiló, en febrero de 2014. Además, cuando los consumidores se dieron cuenta del asunto, trataron frenéticamente de llamar al centro de atención de Target, saturando las líneas y colapsando el sistema.
Basta lo anterior para darnos cuenta de los errores garrafales que cometió la compañía, primero al ocultar el asunto; posteriormente, no actuó con transparencia ni velocidad ante sus clientes; por último, sus directivos renunciaron y la compañía perdió cientos de millones de dólares.
Las cosas habrían sido muy diferentes si Target hubiera tenido un plan de crisis y si no hubiera reaccionado de esa forma.
Conclusión
La palabra clave en esto de las violaciones de datos es protección: tu agencia debe ayudarte a proteger tus valores, clientes, reputación y futuro a largo plazo. Ten en mente esta palabra todo el tiempo, planea con anticipación qué hacer en caso de una crisis, acércate a los expertos para saber reaccionar durante y después de ella, y nunca pierdas de vista que toda empresa que maneja digitalmente datos sensibles es vulnerable a este tipo de incidentes.