En un instante, cualquier empresa puede encontrarse en la aterradora posición de ver la marca que tanto has trabajado para construir siendo arrodillada por una brecha cibernética. Pocas cosas son más perjudiciales para la reputación de una marca que un truco en los titulares, y en el caso de un incidente de seguridad pública, es muy probable que el Director General de Marketing (CMO) y el Director de Seguridad (CSO) sean las primeras personas que el CEO busca y diga «¿Qué hacemos ahora?»
Cuando se produce una brecha de datos, no hay nada peor que tratar de averiguar cómo manejar la crisis sobre la marcha, ya que sigue ocurriendo. Es por eso que cada plan estratégico de marketing, y la estrategia de seguridad general de cada empresa, deben incorporar un plan de comunicación de violación de datos.
Incluso un rumor de una brecha puede desencadenar una crisis de comunicaciones. Aquí hay un escenario generalizado similar a los casos que hemos experimentado: una nueva y caliente empresa de tecnología móvil consigue una de las OPI más exitosas del año. Un hacker con el nombre de ‘Tumbleweed’ entra en un foro y se jacta de que el dispositivo puede ser pirateado. Otros hackers comienzan a publicar en diferentes foros, y un periódico lo recoge. Comienza un ciclo de noticias. Los ingenieros sénior de la compañía responden a los foros negando las afirmaciones de hackeo. Los foros de hackers se vuelven locos y emiten una «recompensa de errores» para tratar de comprometer el dispositivo, con algunos reclamando éxito. Los principales medios de comunicación no son conscientes de los detalles técnicos y sólo recoge las afirmaciones de un truco exitoso. El equipo jurídico de la compañía aconseja a los ejecutivos que adopten un enfoque de labios estrechos y, como resultado, no se toman medidas de comunicación proactivas. El servicio al cliente se inundó de llamadas, las existencias se desploman y el puesto de ventas justo antes de las vacaciones. Los inversores emprenden acciones legales.
De acuerdo con un reciente Estudio del Instituto Ponemon, las infracciones de datos se encuentran entre los tres tipos principales de incidentes que afectan a la reputación de la marca, y los consumidores suelen esperar una compensación después de un compromiso de seguridad.
La buena noticia es que hay mucho que se puede hacer antes de tiempo para prepararse para una brecha de datos y poner a todos en la misma página. No se puede enfatizar lo suficiente cuánto tiempo esto ahorrará más tarde al tratar de determinar cómo responder.
Primero, decida quién en la organización es el más adecuado para manejar la crisis y formar un equipo de comunicación de crisis (como un subconjunto de su equipo de respuesta a infracciones). Esbozar sus roles e identificar las decisiones en torno a la mensajería y la comunicación que pueden tomar en tiempo real.
A continuación, con su equipo de seguridad, realice un inventario de sus activos de datos y riesgos potenciales, y realice una evaluación de impacto. Esto también debería incluir saber qué tipo de ataques te hacen más vulnerable, anticipar los posibles objetivos de un ataque y ejecutar simulaciones como grupo de trabajo. Para ello, debe tener una visión empresarial de cómo las tácticas de seguridad están vinculadas a la forma en que su empresa gestiona el riesgo. Por ejemplo, las funciones de supervisión y detección temprana del equipo de seguridad de IT o del centro de operaciones de seguridad (SOC) deben estar alineadas (a través de su personal, procesos y tecnología) con los activos más críticos de la empresa («joyas de la corona»). En caso de una posible violación de datos, el equipo debe poder proporcionar rápidamente una comunicación temprana y continua sobre el estado a la CMO y a la OSC para formular las mejores acciones de respuesta basadas en el plan general de comunicación de infracciones.
A continuación, determine y documente exactamente lo que está legalmente obligado a revelar, y evalúe el impacto de la marca en función tanto de las implicaciones legales como de la óptica de la opinión pública antes de decidir sobre un enfoque de comunicación proactivo y/o reactivo. Las empresas que cotizan en bolsa frente a las empresas privadas pueden tener requisitos normativos, de notificación y de notificación muy diferentes y, dependiendo de la industria específica, el reloj puede comenzar a marcar mucho antes de lo que se podría pensar.
En las industrias aeroespacial y de defensa, por ejemplo, donde puede haber asuntos de seguridad nacional sensibles al tiempo y clasificados, salir adelante para comunicarse y colaborar con sus clientes, gobierno, base industrial de defensa (DIB) socios y contrapartes de las fuerzas del orden lo sitúan en el asiento del conductor, y le permite anticipar y obtener una mayor visibilidad en las áreas a las que puede necesitar reaccionar en sus futuras acciones de comunicación.
A continuación, asegúrese de saber quiénes son sus mayores defensores cuando se trata de su base de clientes, socios, inversores y expertos en medios de comunicación, ya que la marea de la opinión pública puede cambiar muy rápidamente durante una crisis de ciberseguridad. Asegúrese de tener relaciones establecidas con los mejores expertos en radiodifusión, impresión, sociales y seguridad, así como con influencers en el mercado. Trabaje estrechamente con sus socios de relaciones públicas externas (RR.PP.) y medios de comunicación e identifique especialistas en gestión de crisis y comunicación que puedan ser una extensión de su equipo interno para que cuando se produzca una violación de datos, ellos estén en la mesa con usted. Esto puede significar invertir en relaciones que están fuera de su plan de comunicaciones primario, como bloggers de seguridad que regularmente comentan brechas prominentes o medios de tercer nivel con tendencia a sensacionalizar tales temas.
Sepa qué personas de su organización son las más adecuadas para ser portavoces para qué públicos y asegúrese de que están capacitados. La regla general es que una talla no se ajusta a todos, así que asegurarse de tener voceros que son expertos calificados en cada una de las áreas técnicas y funcionales de su negocio. Es posible que su jefe de ingeniería esté mejor equipado para publicar una respuesta en un sitio de desarrollador o problemas de productos de clientes de campo, mientras que un asesor senior, un oficial de riesgo, un ejecutivo de servicio al cliente o su CSO o CMO podrían ser la mejor persona para hablar con los medios de comunicación. Considere factores como quién tiene las mejores habilidades de comunicación, experiencia previa con los medios de comunicación, autoridad en la empresa y relaciones con las partes interesadas. Recuerde que aquellos que identifique para esta tarea estratégica pueden no ser sus voceros actuales, así que asegurarse de que están entrenados y actualizados periódicamente.
A continuación, determine qué mensajes revelará cuándo, desde su primera revelación hasta la investigación final. Una violación se desarrolla a lo largo de horas, días, semanas y meses a medida que se ponen a disposición más datos. Es posible que no pueda esperar a revelar información o responder hasta que se conozcan todos los hechos, así que discuta con su equipo ejecutivo cuáles serían las condiciones límite para la divulgación de cada etapa. Considere qué decir acerca de los pasos proactivos que está tomando en función de la naturaleza del incidente y lo que los clientes o los afectados necesitan hacer y cómo piensa ayudarlos.
Tendrás que gestionar el contrato social de tu marca durante y después del hecho, porque tu reputación de marca se decidirá con o sin ti. Dependiendo de los objetivos de su negocio y los valores de su marca, puede ser de su mejor interés abogar con sus empleados, clientes influyentes, analistas de la industria, periodistas, redes de radiodifusión, inversores y socios — y cuando/si es apropiado, las fuerzas del orden y el gobierno locales y federales organismos para ayudar a crear mejores protecciones y concienciar a los consumidores y a la industria. Hay mérito al menos considerar abogar desde el otro lado de una brecha, ya que es difícil explorar objetivamente esto como una opción en el calor de una crisis. Saber esto por adelantado dictará cómo manejar las revelaciones mientras ocurre un incidente, y puede guiar más mensajes.
A medida que pasa el tiempo, comuníquese lo que se aprendió y lo que se hizo para mejorar la seguridad como resultado. Asegúrese de que los empleados y las principales audiencias de las stakeholder recian mensajes después del hecho repetidamente. La historia tiene una forma de ser reescrita. Recuerde, usted puede ayudar a controlar cómo se escribe el capítulo final, siempre y cuando escriba uno.
Por último, no olvides desempolvarte y volver a visitar tu plan a menudo. Los hackers están constantemente tratando de mantenerse un paso por delante de ti. Por lo tanto, siga ejecutando simulaciones. Mantenga a los voceros frescos. Mantenga su plan de comunicaciones actualizado y al alcance de su mano. Su marca y los medios de vida de su empresa dependen de ello.
