El ataque informático en el manual de crisis

Las crisis nunca avisan. Se presentan sin llamar, como las visitas inoportunas. Para las empresas igual que para las personas, la preparación previa ante una eventual crisis es imprescindible y saber comunicarlo vital. La mayoría de las grandes empresas y no tan grandes cuentan en sus políticas de comunicación con estrategias de prevención de crisis. En ellas juegan un papel determinante los manuales de crisis, la herramienta básica que cataloga los posibles escenarios de crisis que pueden afectar a la imagen pública de una empresa y establece los procedimientos de actuación y modelos de respuesta.

En este repertorio de riesgos empresariales todavía sigue ocupando un lugar reducido o brilla por su ausencia lo que se está convirtiendo en la gran amenaza del mundo corporativo en el siglo XXI: los ataques informáticos. Incidentes tales como el ataque protagonizado por el virus extorsionador Wannacry en 2017, un ransomware capaz de cifrar todo el contenido de un ordenador, pedir un rescate en forma de bitcoin y seguir expandiéndose por otros equipos, ha sensibilizado a muchas empresas sobre la necesidad de tener políticas de prevención adecuadas para evitar o minimizar las crisis de ciberseguridad y, por ende, de contar con estrategias de comunicación. El impacto de un ataque cibernético en la reputación de una empresa puede ser brutal si no demuestra capacidad de reacción para contener los ataques y paliar la fuga de datos estratégicos.

Uno de los sectores más afectados por los ataques informáticos es el energético, compañías eléctricas y gasistas que proveen de servicios esenciales a los ciudadanos. Pero cualquier sector o empresa es vulnerable, como recientemente se pudo ver con el hackeo que sufrió la cadena hotelera Marriott, que expuso miles de datos privados de sus clientes.

A la preocupación por la ciberseguridad tampoco ha sido ajena la entrada en vigor en España del nuevo Reglamento para la protección en el tratamiento de los datos personales, que impone a las organizaciones la obligación de garantizar la seguridad de los datos de carácter personal y que prevé cuantiosas multas a las compañias que sufran fallos en la custodia de datos personales de sus clientes.

Los consultores de comunicación hemos visto cómo en los dos últimos años la demanda de actualización de los manuales de crisis para incorporar en el repertorio de casos este importante riesgo empresarial ha crecido exponencialmente. La singularidad de los ataques cibernéticos, su impacto económico y repercusión en la reputación obliga a unas pautas de comunicación específicas, no habituales en otras situaciones de crisis.

La propia Telefónica, una de las víctimas del Wannacry en 2017, se vio obligada, nada más trascender el ataque, a ordenar por megafonía a sus empleados que apagaran los ordenadores y abandonaran la oficina, para evitar la propagación del virus. Los protocolos de actuación ante una crisis de estas características deben prever esta y otras circunstancias.

En una crisis de estas características, la transmisión de confianza a los clientes y proveedores, alarmados ante la probable fuga de datos, debe ser primordial. La demora de las empresas en informar a sus stakeholders de un ataque informático minimizando este o pensando que puede pasar desapercibido, es directamente proporcional a la caída en picado de su reputación.

El caso de Equifax, una empresa crediticia estadounidense que fue víctima en 2017 del que se considera el mayor ataque cibernético de la historia, afectando a los datos (números de Seguro Social, fechas de nacimiento, direcciones y números de tarjetas de crédito) de más de 140 millones de clientes es muy ilustrativo. La crisis se llevó por delante a su CEO, Richard Smith, a pesar de sus sinceras disculpas a todos los afectados. Es muy importante tener también en cuenta la imprevisibilidad de un ataque informático y las dificultades iniciales para calibrar su importancia por su carácter acumulativo. En muchas ocasiones el ejercicio de una transparencia absoluta puede generar un problema mayor, sobredimensionando un asunto a veces menor. Es preciso mantener un justo equilibrio en la comunicación de los hechos a todos los stakeholders, sin ocultación, pero sin tampoco magnificar los hechos.

Por eso, se debe ser extremadamente prudente en la difusión de datos. La experiencia demuestra que las brechas informáticas crecen exponencialmente tan pronto como los equipos forenses realizan las primeras comprobaciones. Los primeros datos suelen ser siempre erróneos. Divulgarlos apresuradamente para ir rectificando sucesivamente no solo alimenta una sucesión encadenada de noticias sino que fomenta la imagen de mala gestión.

Posiblemente no se puedan facilitar cifras, pero sí comunicar de forma clara y convincente a todos los publicos las acciones que se están acometiendo para paliar o minimizar los impactos de un ataque cibernético. Hay que rehuir de las conjeturas o especulaciones sobre lo que todavía no se conoce y estar preparado con un arsenal de respuestas a las preguntas inmediatas que se puedan plantear.

Si hay un público prioritario en la comunicación de una crisis cibernética o ataque informático es el interno. Las acciones de comunicación con este público deben ser prioritarias. Los empleados han de conocer antes que nadie los mensajes principales. Han de saber cómo reaccionar y cómo comportarse. Es también primordial disponer de canales de comunicación tradicionales, para evitar que la utilización del correo electrónico o el uso de la página web o intranet empeore la crisis.

Adolfo Lázaro es Director de Estudio de Comunicación