El ataque global WannaCry que hace unos días afectó a 200.000 equipos de unos 150 países, entre ellos España, marca un hito en la historia de los ciberdelitos y obliga a empresas de todo tipo a replantearse las medidas de seguridad para no poner en peligro su cuenta de resultados ni su reputación. Como explica José Ramón Morales, socio de Garrigues y experto en industria tecnológica y negocios digitales, “las empresas se dividen entre las que han sido ciberatacadas y las que lo han sido y no lo saben. A veces determinados fallos se atribuyen a un mal funcionamiento de los sistemas cuando lo que hay detrás es en realidad obra de piratas informáticos”.
Las dimensiones del problema son tales que determinadas escuelas están lanzando en los últimos años sus propios Másters en Ciberseguridad mientras las compañías aseguradoras venden cada año más ciberpólizas, un producto que protege a las empresas ante robos o pérdidas de información y cubre el pago de posibles multas por incumplimiento de la Ley de Protección de Datos (LOPD). El Reglamento General Europeo de Protección de Datos, por cierto, que entrará en vigor en mayo de 2018, obligará a las compañías españolas a cumplir una normativa estricta en caso de que sean víctimas de ciberdelitos.
De la misma forma que las compañías de seguros están adaptando sus pólizas, ATREVIA está lanzando al mercado sofisticados productos, como apps y Manuales 3.0, que permiten a la empresa gestionar con garantías el nuevo tipo de crisis de comunicación que está emergiendo en un entorno cada vez más complejo. No sólo para comunicarte de una forma más efectiva con tus públicos externos, sino para que puedas hacerlo con tus trabajadores, que deben ser tus principales aliados en situaciones de crisis.
Mientras incorporas estas nuevas tecnologías a tu arsenal de medidas para gestionar crisis de comunicación, resumimos aquí nuestras recomendaciones para evitar que un posible ciberataque ponga contra las cuerdas a tu negocio o a tu marca.
¿Qué hacer antes de un ciberataque?
- Manual de Crisis 3.0. Adapta tu Manual de Crisis a la nueva era en la que nos encontramos. Incluye en él el escenario de un hackeo. Si no contemplas el ciberdelito como una de las situaciones que pueden golpear a tu organización, vas con retraso. No importa el tamaño de tu compañía ni el sector al que pertenece, ya que todas las organizaciones son candidatas a padecer brechas que se traduzcan en fuga de datos y, por tanto, en un riesgo reputacional.
- Ensaya. Nada mejor para prepararse ante un escenario de riesgo que un buen simulacro de crisis. Te permitirá familiarizarte con la situación y afrontarla con mayores garantías si se convierte en realidad.
- Instruye a tu público interno, que desempeña un papel clave antes, durante y después del hackeo. Tu equipo debe saber que prácticas pueden favorecer un ciberdelito. Especialmente si utiliza smartphones a través de los cuales envía o recibe emails, trabaja con datos relativos a las tarjetas de crédito de tus clientes o con cualquier otra información sensible. Fórmale e infórmale para que sepa qué medidas cabe adoptar para reducir riesgos en la medida de lo posible. Y recuerda que el empleado es tu mejor embajador a la hora de comunicar al exterior.
¿Qué hacer durante un ciberataque?
- Convoca a tu comité de crisis. Determina quiénes lo integrarán si el ciberataque se hace realidad: CEO, equipo legal, asesores en comunicación, informáticos y, por supuesto, forensics encargados de rastrear la fuente del ciberdelito.
- Rodéate de asesores cualificados. Aunque cuentes con un equipo legal propio, conviene que contrates los servicios de un bufete con experiencia en este tipo de delitos. Del mismo modo, no olvides la importancia de disponer de asesores en comunicación debidamente preparados para escenarios de crisis. Recuerda también la conveniencia de que la estrategia legal y la de comunicación vayan de la mano.
- Informa a tus stakeholders sobre lo ocurrido. Empieza por aquellos afectados por el ciberdelito. Toma la iniciativa y no dejes que tengan conocimiento de los hechos a través de otros. Comunícate con ellos lo antes posible, sé sincero, muestra empatía e infórmales en tiempo real de lo que estás haciendo para solucionar la situación creada. Si has hecho los deberes y cuentas con un Manual de Crisis que contempla el ciberataque como uno de los escenarios de riesgo, seguro que tienes borradores de comunicados preparados. Son muy útiles y te permitirán reaccionar con agilidad y rapidez.
- Cumple la legalidad. Comunica los hechos a las autoridades. Tal y como te he comentado, si la tuya es una empresa española, a partir de 2018 los requisitos en este sentido van a ser aún más estrictos en este sentido.
- Prepara al front desk. El papel de aquellos trabajadores que desempeñan funciones de cara al público es esencial, así que imparte instrucciones sobre lo que deben decir ante peticiones de información por parte de cualquiera de tus públicos externos. Facilítales un documento de preguntas y respuestas que contenga todas aquellas dudas que puedan albergar tus clientes en un momento dado. Explica a tus stakeholders dónde deben dirigirse para mayor información
- Monitoriza. Presta especial atención a todo aquello que se dice de ti en el ámbito offline y online. Te permitirá actuar a tiempo si surgen rumores que puedan acrecentar las alarmas innecesariamente.
¿Qué hacer después de un ciberataque?
- Informa a tus públicos. Comunica a los afectados que la situación se ha solventado.
- Evalúa. Como en cualquier otra crisis, conviene extraer conclusiones de lo ocurrido
Si deseas más información sobre las nuevas herramientas que ATREVIA está ofreciendo a todo tipo de empresas para que estas puedan proteger su negocio (Manuales de Crisis 3.0, apps, etc.), no dudes en contactar con Rocío Pérez de Sevilla.
Vía: El blog de Javier Salgado – Comunicación de crisis