El 5 de abril de 2018, Reuters reportó que la tienda departamental Sears y la aerolínea Delta habían sido víctimas de una violación de datos a través de la empresa que les provee de servicios en línea, [ 24]7.ai.
Sears mencionó que fue notificada a mediados de marzo del incidente, el cual expuso los datos de tarjetas de crédito de aproximadamente 100,000 de sus clientes. Por su parte, Delta dijo que no se ventilaron datos personales de pasaportes, identificaciones gubernamentales, de seguridad o de su programa de lealtad “SkyMiles”; sin embargo, no pudo precisar de cuántas personas había sido comprometida su información.
Apenas la semana anterior a esta noticia, las tiendas Saks y Lord & Taylor también dieron a conocer que habían sido víctimas de una violación de datos...
Estamos en la era de los datos y la frase “información es poder” ya pasó de ser un cliché de productos culturales sobre política a ser un mantra de todos los días para millones de personas en el mundo. Es por ello que los incidentes de violación de datos se han incrementado y cada vez son más peligrosos, grandes y millonarios.
Al respecto, 2014 fue un año particularmente complicado: de acuerdo con información publicada en Cogent Business & Management, ese año los hackers tuvieron acceso a alrededor de 85 millones de cuentas de consumidores de grandes cadenas de almacenes como Target, Michaels, Neiman Marcus, Home Depot y Staples.
Las consecuencias de estos incidentes fueron graves (las compañías sufrieron baja en sus acciones, pérdidas y gastos multimillonarios para cubrir las consecuencias) y tomaron a todos por sorpresa respecto al manejo de crisis por violación de datos y hackeo.
Así mismo, estas situaciones evidenciaron la poca o nula preparación de las empresas respecto a relaciones públicas, reduciéndose su reacción ante el público y la prensa a simples comunicados dirigidos a los afectados para acallar la incertidumbre, pero en ninguno de ellos las compañías ofrecieron respuestas contundentes sobre cómo evitarían que esto volviera a pasar en el futuro, probablemente porque ni ellas sabían de cierto qué había sucedido.
De esta forma, durante los años subsecuentes siguieron ocurriendo más episodios similares que han vulnerado la información personal. Han sido tantos, que parece que ya son “normales” e “inevitables”, dado que los hackers suelen estar un paso adelante que las empresas respecto a ciberseguridad (no por nada las compañías los contratan bajo cifras millonarias para depurar sus sistemas).
Sea cierto o no que los ataques ya son “normales”, lo que es un hecho es que es esencial que las empresas se preparen para enfrentar una posible crisis de relaciones públicas provocada por una violación de datos.
¿Te imaginas lo que pasaría si todo tu trabajo de años de construcción de marca se arruine en minutos por un ciberataque? Pocas cosas son tan dañinas para una compañía que un titular de hackeo en un periódico. ¿Sabes si tu empresa está lista para una crisis así? ¿Qué mensajes debes emitir? ¿Cómo hay que reaccionar? De esto y más hablaremos a continuación.
Ya no te preguntes si te van a atacar, sino CUÁNDO te van a atacar.
De acuerdo a la encuesta de violación de datos y seguridad de PWC (2015) para el gobierno británico, 90% de las empresas grandes (Sony, Ashley Madison, VTech, entre otras) fueron víctimas de robo de información entre 2014 y 2015; en el caso de los pequeños negocios, fueron afectadas 74%.
Como ves, no se se trata de si te van a atacar o no, sino de cuándo (a menos que elimines toda huella digital de tu empresa y regreses a la era del papel y el lápiz), por lo que hay que estar preparado no sólo a nivel de la ciberseguridad, sino también de las relaciones públicas para lidiar con la crisis que se avecina, sobre todo porque la gran mayoría de las compañías afectadas no se dan cuenta de que están siendo vulneradas hasta muchos días, o meses, después del inicio del ataque, y eso es gracias a que los hackers hacen algo con la información robada, lo cual llama la atención de los consumidores afectados y, por ende, de la prensa. Para ese entonces, el daño ahora sí está hecho y evitar la crisis puede ser demasiado tarde.
¿Sabías que de acuerdo a un estudio de Deloitte, 33% de los consumidores confían MÁS en una compañía cuando ésta les avisa transparentemente que ha sido víctima de un hackeo?
¿Cómo elaborar un plan de prevención de crisis ante una violación de datos?
Antes de encontrarte en una situación así, te recomendamos que sigas estos 9 pasos:
Después de ser vulnerado, ¿qué?
Recuerda: las violaciones de datos cuestan dinero y, sobre todo, afectan gravemente la reputación de tu empresa. Cuando detectas que has sido afectado, las primeras horas son cruciales.
Lo primero que debes hacer es cerrar todos tus sistemas e identificar y aislar la zona afectada. Posteriormente, investiga si los hackers no han entrado a alguna otra de tus áreas.
Ahora bien, respecto a las relaciones públicas, lo primero que debes hacer es tranquilizarte, no entres en pánico, no contagies nerviosismo a tus empleados, únanse y trabajen en equipo. Recuerda que perder el control empeora la situación.
La respuesta corporativa que emitas dependerá del momento en que se descubra que has sido vulnerado. En realidad, una violación de datos es un error técnico, pero cuando sale a la luz (vía la prensa o los consumidores), tu respuesta debe enfocarse mucho más en en ser reaccionaria y en cuidar la reputación de tu empresa. Pero ya sea que el descubrimiento haya sido interno o externo, tus equipos técnicos deben trabajar de la mano con otras áreas (especialmente con relaciones públicas) para formular una estrategia de respuesta y así limitar el daño a tu compañía.
Antes de hablar públicamente del tema, establece qué se perdió, a quién afectará y cómo pasó, lo cual, de hecho, no sólo deberás decírselo a la prensa, sino también a las autoridades y consumidores.
4 acciones a seguir ante una emergencia.
Suponiendo que ya tienes tu plan de crisis listo, ¡es momento de aplicarlo! Sigue estos pasos:
¿Crees que ocultar la crisis te va a beneficiar? ¡NO! Es todo lo contrario. Habla de frente y claro con los afectados lo antes posible y pon énfasis en el cara a cara: no uses eufemismos, sé honesto, muestra pena y arrepentimiento, pon en práctica todo lo que has ensayado (lo afectados tendrán MUCHAS preguntas), sé claro, enfócate en mantener una buena relación con las víctimas, sé empático.
Ya que les diste la cara a los que serán afectados directamente, es momento de publicar un comunicado general para todos los demás interesados, especialmente si crees que esta crisis podría trascender a la prensa o se podría hacer viral. Básate siempre en tu plan y facilita a la gente el encontrar tu versión de los hechos (ponla como sección principal del home de tu web, por ejemplo).
Cuenta tu historia, no mientas, sé honesto y transparente, menciona claramente las repercusiones del hecho y lo que harás al respecto, responde de antemano todas las preguntas esperadas, sé consciente del SEO para que tu comunicado sea lo primero que la gente encuentre sobre el tema cuando busque información.
Monitorea lo que se dice de ti en las redes y da respuesta a las preguntas más relevantes. Ofrece información puntual, detecta rumores y fake news, y prepárate para insultos y bromas, no lo tomes personal.
Relacionado con el paso anterior, si el hackeo ya atrajo demasiada atención, es muy probable que se haga viral en redes sociales, así que adelántate a todos los que quieran hablar del tema y sé tú el que establezca la agenda. Recuerda que el incidente puede tener eco muchos meses después de sucedido, así que debes monitorear las consecuencias.