Uno de los temores más grandes de muchos de nuestros clientes es que los datos que almacenan de sus usuarios puedan ser pirateados. Para una empresa es posible salir airoso de una filtración de datos de usuarios, pero es casi seguro que manejar mal esta crisis ante la atención pública dañará la imagen de la marca. La lista de víctimas por data breaches mal gestionados sigue creciendo año tras año en un mundo donde la recopilación de datos por parte de las compañías es enorme, y los ataques por parte de piratas informáticos, cada vez son más habituales.
Prepararse con anticipación para una posible crisis cibernética es sin duda la mejor táctica para una empresa: tener clara la estrategia que habrá de seguirse, los pasos a seguir para solucionar el problema lo más pronto posible, y de qué forma se comunicará al público. Aconsejamos elaborar un manual de estrategias de comunicación de crisis cibernética específicamente hecho para la compañía y sus circunstancias y particularidades, e incluso llevarlo más allá, haciendo simulaciones periódicas para testear las mejores estrategias para abordar la situación, así como la rapidez de respuesta. Pasos como estos permiten a las empresas resolver problemas difíciles y brechas de comunicación con anticipación, por lo que estarán mejor preparadas para reaccionar ante una crisis real, donde parece que falta tiempo para pensar con calma y sin nervios.
Repasamos los cuatro pilares básicos que aconsejamos contemplar a la hora de comunicar sobre un ciberataque:
1. No proporcionar números o detalles del alcance del ataque
Estudiando los cientos de casos de firmas que han sufrido un ciberataque en la última década, sabemos que los primeros números que una empresa suele dar sobre el volumen de registros afectados casi siempre son incorrectos.
Mejor ser cautos y no desvelar el número hasta que esté confirmado al 100%. De la misma forma, a menos de que se esté totalmente seguro, no descartar datos o sistemas afectados, pues es muy arriesgado. Si posteriormente la investigación descubre que el pirateo alcanzó más sistemas o datos de los inicialmente comunicados, generará más noticias negativas sobre el ataque.
2. No atribuir públicamente la supuesta fuente del ataque
Es tentador nombrar al atacante si ya se conoce, pues desvía la atención de la empresa y se centra en esta otra historia, pero a la vez continuamos alimentando el ciclo de noticias sobre la filtración de datos, y puede que incluso tape aquellas que si nos interesa que sean relevantes, como por ejemplo, las medidas que estemos tomando para abordar el incidente.
3. No ignorar las llamadas de los medios
La historia va a ser publicada, independientemente de que responda o no a la consulta de un periodista. Responder a las preguntas de la prensa es la oportunidad de una empresa para demostrar que está investigando y tratando de solucionar el problema lo más pronto y mejor posible.
4. Recalcar el compromiso de la empresa con la mejora de la ciberseguridad.
La empresa debe iniciar una investigación lo más pronto posible, con el fin de tomar medidas inmediatas a nivel interno, demostrando que están reestructurando y mejorando sus sistemas para reforzar sus medidas de seguridad, y evitar que eso pase más veces. Por supuesto, esto debe ser comunicado tanto a clientes y afectados, como al público general (a través de los medios de comunicación, las propias redes sociales de la empresa, una newsletter, y cualquier otra herramienta que se estime oportuna según el caso)
