Reputación en tiempo real: lo que los ciberataques están enseñando a las empresas

Este incidente no solo puso en riesgo la información de miles de asegurados, sino que también afectó la reputación de la empresa, obligándola a enfrentar consecuencias legales y regulatorias. La aseguradora tuvo que implementar medidas adicionales para proteger los datos y restaurar la confianza de sus clientes, destacando la importancia crítica de la ciberseguridad en el sector financiero. (El Economista)

Apenas este abril, la cadena británica Marks & Spencer fue víctima de un ciberataque que interrumpió las operaciones en línea de la empresa, obligándola a suspender pedidos, afectando los pagos en tiendas físicas y dificultades de los clientes para realizar devoluciones y utilizar tarjetas de regalo. El incidente resaltó las vulnerabilidades en la ciberseguridad del sector minorista y generó preocupaciones sobre la protección de datos y la continuidad operativa.

En 2024, la filtración de datos promedio costó a las organizaciones víctimas una cifra récord de 4.88 millones de dólares, según un informe de IBM. Mientras tanto, el número de ciberataques aumentó un 72 % entre 2021 y 2023.
Cuando se desata una crisis y los datos personales de los usuarios corren el riesgo de verse comprometidos, las empresas no pueden permitirse perder tiempo en deliberar sobre sus próximos pasos de comunicación. Prepararse con antelación es esencial, y el equipo de comunicaciones debe ser parte integral del plan de crisis.

Y ¿En qué debe consistir un plan de comunicación ante una crisis de ciberataque? Lo primero y crucial, son los protocolos de notificación precisos. Es fundamental tomar las medidas con antelación:
– Establecer un equipo multidisciplinario dedicado a la comunicación (que incluya a la alta dirección, expertos legales, de relaciones públicas, ciberseguridad y tecnología) con funciones y responsabilidades claras.
– Identificar a los portavoces: determinar quién representará públicamente a la empresa durante una crisis, quién proporcionará comentarios a los medios de comunicación y quién mantendrá informados a las partes interesadas.

El siguiente paso es definir las herramientas y canales de comunicación. Hay que tomar en cuenta, que durante un ciberataque los canales de comunicación habituales pueden quedar inactivos o comprometidos. Acceder al correo electrónico corporativo o a Slack podría permitir a los. atacantes monitorear sus acciones, mientras que los sitios web y otras plataformas de la empresa podrían quedar fuera de servicio.

Por lo tanto, una organización debe determinar qué herramientas y canales utilizará para diferentes escenarios, como mensajería segura o líneas telefónicas de emergencia. Garantizar una comunicación protegida es crucial al gestionar datos personales u otra información sensible.

Otra práctica muy útil es la de realizar simulacros de comunicación de crisis de manera regular. Descubrir vulnerabilidades durante un suceso es un gran riesgo. Los simulacros son la mejor manera de garantizar que todos los miembros del equipo de respuesta comprendan sus funciones y responsabilidades, que todas las acciones estén coordinadas y que se pueda contactar a los públicos de interés a través de canales de comunicación alternativos.

Un error común es hacer una pausa una vez superada la crisis y omitir la comunicación posterior, ya que muchas empresas concluyen su comunicación con un simple “nuestros servicios están restablecidos”. Si bien esto puede ser suficiente para crisis menores, sigue siendo mejor informar a las partes interesadas sobre los resultados y las lecciones aprendidas. Considerar la preparación de un informe para la junta directiva, otro para el equipo y declaraciones públicas para tranquilizar a los clientes y socios.

Gestionar la comunicación durante un ciberataque es una tarea compleja, incluso para profesionales con experiencia. Los canales de comunicación habituales pueden quedar inactivos, y las consecuencias de estas crisis afectan a todos los públicos de interés, internos y externos.
La importancia de la preparación ante incidentes cibernéticos ya se reconoce en la Unión Europea. A partir de este año, la llamada Ley DORA exigirá a las instituciones financieras y a sus proveedores de servicios de TI contar con un plan de comunicación de crisis. La experiencia demuestra que los ciberataques son inevitables. No obstante, una preparación adecuada para la comunicación durante los este tipo de incidentes puede ayudar a las empresas a reducir las pérdidas financieras y de reputación, e incluso a mejorar la fidelización de los clientes.