Por: Pablo Duncan-Linch, Socio Director CLC afiliada de LLYC Costa Rica.
(M&T)-. De conformidad con la prestigiosa empresa FORTINET, los ciberataques en Costa Rica alcanzaron los 87 millones de intentos en el primer trimestre del 2021 y a 7 mil millones de intentos de ciberataques en el mismo período en América Latina. Estos incidentes implican para las empresas y organizaciones retos importantes a nivel reputacional.
La exposición de los datos de clientes, la por aplicación de servicios defectuosos o incompletos o el impacto reputacional por la develación parcial e imprecisa de información de la empresa y la opinión pública son algunas de las consecuencias que las gerencias deben afrontar.
Los ciberataques no deben atenderse únicamente desde el punto de vista técnico-tecnológico, sino que debe existir un abordaje desde la comunicación estratégica. Ante este tipo de amenazas no caben ocurrencias o improvisaciones al “calor del momento”, por lo que se debe contar con una estrategia de crisis previa, cuyo objetivo principal es mitigar el riesgo reputacional tanto en el ámbito interno como externo de la organización.
Por medio de una estrategia con objetivos y escenarios se facilita la toma de decisiones sobre cuándo, qué y con quién comunicarse, lo cual mitiga el riesgo y daño a la reputación corporativa. Iván Pino, experto en comunicación en entornos digitales, enumera las fases en la gestión de ciber riesgos desde el punto de vista de la reputación.
Primero, es fundamental anticipar las amenazas, vulnerabilidades y riesgos de ciberseguridad y generar las medidas que permitan eliminar o mitigar aquellos más perjudiciales. La segunda etapa implica la preparación para controlar el impacto en la organización de los riesgos de reputación. Tercero, se debe tener resolución para responder a las crisis cuando se materializan los ciberriesgos y por último, se debe contemplar la recuperación que implica el fortalecimiento de la resiliencia de la organización después de afrontar riesgos y crisis.
Antes de la crisis.
Las probabilidades de ser víctima de los ciberdelincuentes cada vez son más altas por lo que la preparación es crucial. Las organizaciones deben contar con protocolos de comunicación con un abordaje estratégico que proteja los objetivos de negocio con transparencia y con sentido de urgencia. La anticipación debe propiciar mensajes efectivos y diálogos relevantes con todos los stakeholders con quiénes se tenga que conversar, sea de manera proactiva o reactiva.
Anticipar el evento permitirá tener claridad sobre la vocería adecuada, el momento en el que se debe comunicar, el contenido y a quién va dirigida la comunicación, lo cual permite ejecutar una estrategia sólida para minimizar los daños a la reputación. Cuando estalla la crisis ya es tarde para empezar a construir una hoja de ruta, preparar y definir voceros o talking points. En esta línea, todas las empresas deberían contar con un protocolo y un comité o equipo de crisis conformado por representantes de distintas áreas de la empresa como TI, comunicación, soporte legal y el área operativa o de gestión implicada.
Desde mi experiencia en Centroamérica como Socio Director de CLC afiliada a Llorente y Cuenca (LLYC), puedo afirmar que anticipar las crisis está entrelazado con el fortalecimiento de la reputación. Los diálogos regulares y proactivos con stakeholders generan una relación de confianza y de cooperación que facilita el acceso a las empresas a tomadores de decisión y medios de comunicación para presentar su posición de manera rápida, eficiente y efectiva, en medio del “ruido” que surge cuando trasciende un ataque de ciberdelincuentes.
Durante la crisis.
Lo primero será siempre convocar sin dilación al equipo de crisis para analizar e interpretar de la mejor manera los hechos y determinar un curso de acción lo antes posible. El consejo del equipo legal sobre la obligación de informar a instituciones de supervisión, financieras, de defensa del consumidor, entre otras es esencial.
Entre las metas de las acciones de comunicación está la de generar confianza, atender los impactos reputacionales, pero, sobre todo, proteger a terceros que pudieran ser víctimas principales o colaterales del ataque.
Precipitarse en implementar las acciones de comunicación puede afectar o estorbar los procesos de investigación interna o judicial, pero, por otro lado, empezar las conversaciones con los stakeholders demasiado tarde puede afectar severamente la credibilidad de la organización. La recomendación de gestionar un diálogo abierto con los grupos de interés no puede generar un mayor riesgo o afectación para las otras partes, ni tampoco entorpecer las investigaciones y acciones judiciales. Exponer precipitadamente las debilidades que fomentaron el ataque puede también generar riesgos adicionales para la empresa o terceros.
Entonces, tomando en consideración lo anterior, la empresa debe, salvo casos especiales, abordar un diálogo franco que traiga claridad sobre los hechos reales lo antes posible, lo cual, sin recurrir a excusas o vanas justificaciones, logre generar empatía, pues la organización también es víctima del incidente. En todo momento se debe probar que la organización está en control de la situación y que se hace todo lo que está al alcance para atender, subsanar y/o evitar el daño a terceros.
La comunicación debe ser oportuna, integral, veraz, sustentada en hechos, sin suposiciones, sin asunciones prematuras de culpa y estratégicamente ordenada. Este último aspecto es importante pues se debe priorizar la comunicación en línea con la estrategia y el consejo del área legal. Por ejemplo, usualmente se recomienda abordar primero a los públicos internos como las personas colaboradoras o socias de la empresa y luego atender a los públicos externos como clientes, proveedores, entre otros.
Post crisis.
Se debe tomar en consideración que la empresa u organización debe salir adelante y que no se puede comprometer su futuro por una crisis transitoria. Restablecer la confianza y fortalecer la reputación serán vitales después de la crisis. No nos debemos equivocar, el trabajo posterior es el más retador y relevante. Empieza en dónde termina la crisis, construyendo nuevos diálogos, abiertos, intencionales, permanentes, de valor y proactivos con nuestros stakeholders, para construir relaciones sólidas y de cooperación en beneficio de todas las partes.
Comments