Su empresa necesita un plan de comunicación para las violaciones de datos

En un instante, cualquier empresa puede encontrarse en la aterradora posición de ver cómo la marca por la que se ha esforzado tanto por crear se pone de rodillas por un ciberataque. Pocas cosas dañan más la reputación de una marca que un hackeo en los titulares y, en caso de un incidente de seguridad pública, es muy probable que el director de marketing (CMO) y el director de seguridad (CSO) sean las primeras personas a las que el CEO acuda y diga: «¿Qué hacemos ahora?»

Cuando se produce una violación de datos, no hay nada peor que tratar de averiguar cómo gestionar la crisis sobre la marcha tal como sigue ocurriendo. Por eso, todos los planes estratégicos de marketing y la estrategia de seguridad general de cada empresa deben incorporar un plan de comunicación sobre violaciones de datos.

Incluso el rumor de una violación puede provocar una crisis de comunicación. He aquí un escenario generalizado similar a los casos que hemos experimentado: una nueva y popular empresa de tecnología móvil consigue una de las OPI más exitosas del año. Un hacker llamado «Tumbleweed» entra en un foro y presume de que el dispositivo puede ser hackeado. Otros hackers comienzan a publicar en diferentes foros y un periódico lo recoge. Comienza un ciclo de noticias. Los ingenieros sénior de la empresa responden a los foros negando las afirmaciones de hackeo. Los foros de hackers se vuelven locos y ofrecen una «recompensa por errores» para intentar comprometer el dispositivo, y algunos afirman que lo han conseguido. Los principales medios de comunicación desconocen los detalles técnicos y solo captan las afirmaciones de un hackeo exitoso. El equipo legal de la empresa aconseja a los ejecutivos que adopten un enfoque hermético y, como resultado, no se toman medidas de comunicación proactivas. El servicio de atención al cliente se inunda de llamadas, las acciones se desploman y las ventas se detienen justo antes de las fiestas. Los inversores emprenden acciones legales.

Según un reciente Estudio del Instituto Ponemon, las filtraciones de datos figuran entre los tres tipos principales de incidentes que afectan a la reputación de la marca y los consumidores suelen esperar una compensación tras un compromiso de seguridad.

La buena noticia es que se pueden hacer muchas cosas con antelación para prepararse para una violación de datos y que todos estén en sintonía. No puedo recalcar lo suficiente el tiempo que esto ahorrará más adelante al tratar de determinar cómo responder.

Primero, decida quién en la organización es el más adecuado para gestionar la crisis y forme un equipo de comunicación en caso de crisis (como un subconjunto de su equipo de respuesta a una infracción). Describa sus funciones e identifique las decisiones en torno a la mensajería y la comunicación que pueden tomar en tiempo real.

Luego, con su equipo de seguridad, haga un inventario de sus activos de datos y los posibles riesgos y lleve a cabo una evaluación del impacto. Esto también debería incluir saber qué tipo de ataques lo hacen más vulnerable, anticipar los posibles objetivos de un ataque y realizar simulaciones en grupo de trabajo. Para ello, debe tener una visión empresarial de cómo las tácticas de seguridad están vinculadas a la forma en que su empresa gestiona el riesgo. Por ejemplo, las funciones de supervisión y detección tempranas de su equipo de seguridad de TI o centro de operaciones de seguridad (SOC) deben alinearse (a través de sus personas, procesos y tecnología) con los activos más importantes de la empresa («joyas de la corona»). En caso de una posible violación de datos, el equipo debería poder comunicar rápidamente el estado de forma temprana y continua al CMO y al CSO para formular las mejores medidas de respuesta en función del plan general de comunicación sobre la violación.

A continuación, determine y documente exactamente lo que está legalmente obligado a revelar y evalúe el impacto de la marca en función de las implicaciones legales y de la opinión pública antes de decidir un enfoque de comunicación proactivo o reactivo. Las empresas que cotizan en bolsa y las privadas pueden tener requisitos de notificación, presentación de informes y reglamentarios muy diferentes y, según el sector específico, el tiempo puede empezar a correr mucho antes de lo que piensa.

En las industrias aeroespacial y de defensa, por ejemplo, donde puede haber asuntos de seguridad nacional clasificados o urgentes, salir adelante para comunicarse y colaborar con sus clientes, el gobierno, base industrial de defensa (DIB) socios y homólogos de las fuerzas del orden lo ponen en el asiento del conductor y le permiten anticiparse y tener una mayor visibilidad de las áreas a las que puede que necesite reaccionar en sus futuras acciones de comunicación.

Luego, asegúrese de saber quiénes son sus principales defensores en lo que respecta a su base de clientes, socios, inversores y expertos de los medios de comunicación, ya que la opinión pública puede cambiar muy rápido durante una crisis de ciberseguridad. Asegúrese de establecer relaciones con los mejores expertos en radiodifusión, prensa, redes sociales y seguridad, así como con personas influyentes del mercado. Trabaje en estrecha colaboración con sus socios externos de relaciones públicas (RR.PP.) y medios de comunicación e identifique a especialistas en gestión de crisis y comunicación que puedan ser una extensión de su equipo interno para que, cuando se produzca una violación de datos, estén sentados a la mesa con usted. Esto puede significar invertir en relaciones que estén fuera de su plan de comunicación principal, como blogueros de seguridad que comentan regularmente sobre infracciones importantes o medios de comunicación de tercer nivel con tendencia a sensacionalizar esos temas.

Sepa qué personas de su organización son las más adecuadas para ser portavoces para cada público y asegúrese de que están formadas. La regla general es que la talla única no sirve para todos, así que asegúrese de contar con portavoces que sean expertos cualificados en cada una de las áreas técnicas y funcionales de su empresa. Su jefe de ingeniería podría ser el más preparado para publicar una respuesta en el sitio de un desarrollador o sobre las dudas de los clientes sobre los productos, mientras que un abogado principal, un oficial de riesgos, un ejecutivo de servicio de atención al cliente o su CSO o CMO podrían ser la persona más adecuada para hablar con los medios de comunicación. Tenga en cuenta factores como quién tiene las mejores habilidades de comunicación, la experiencia previa en los medios de comunicación, la autoridad en la empresa y las relaciones con las partes interesadas. Recuerde que las personas que identifique para esta tarea estratégica pueden no ser sus portavoces de referencia actuales, así que asegúrese de que reciben formación y actualización periódicamente.

A continuación, determine qué mensajes revelará y cuándo, desde su primera revelación hasta la investigación final. Una infracción se desarrolla a lo largo de horas, días, semanas y meses a medida que se dispone de más datos. Puede que no pueda esperar para divulgar la información o responder hasta que se conozcan todos los hechos, así que hable con su equipo ejecutivo sobre cuáles serían las condiciones límite para la divulgación en cada etapa. Considere qué decir sobre las medidas proactivas que está tomando en función de la naturaleza del incidente y de lo que los clientes o los afectados tienen que hacer y de la forma en que piensa ayudarlos.

Tendrá que gestionar el contrato social de su marca durante y después de los hechos, ya que la reputación de su marca se decidirá con o sin usted. Según los objetivos de su empresa y los valores de su marca, puede que lo mejor para usted sea abogar ante sus empleados, los clientes más influyentes, los analistas del sector, los periodistas, las cadenas de televisión, los inversores y los socios y, cuando proceda, con las fuerzas del orden y las agencias gubernamentales locales y federales para ayudar a mejorar la protección y la conciencia de los consumidores y la industria. Hay mérito en, al menos, considerar la posibilidad de abogar desde el otro lado de una brecha, ya que es difícil explorar objetivamente esta opción en el fragor de una crisis. Saber esto desde el principio dictará la forma en que gestionará las divulgaciones mientras se produce un incidente y puede guiar los mensajes adicionales.

A medida que pase el tiempo, comunique lo que ha aprendido y lo que se ha hecho para mejorar la seguridad como resultado. Asegúrese de que los empleados y las principales audiencias de las partes interesadas reciban mensajes después de los hechos repetidamente. La historia tiene una forma de reescribirse. Recuerde que puede ayudar a controlar la forma en que se escribe el último capítulo, siempre y cuando escriba uno.

Por último, no olvide desempolvar y revisar su plan con frecuencia. Los hackers intentan constantemente ir un paso por delante de usted. Así que, siga haciendo simulaciones. Mantenga a los portavoces frescos. Mantenga su plan de comunicación actualizado y al alcance de su mano. Su marca y el sustento de su empresa dependen de ello.