Consejo administración

DORA, ciberataques y el consejo de Administración. El pulso entre el «compliance» y la crisis en riguroso directo

Imagina la escena. Es viernes, 16:00 horas. Las pantallas de la sede central se van a negro. Los teléfonos de atención al cliente empiezan a comunicar. El CISO entra pálido a la sala de crisis: un ransomware ha secuestrado los sistemas principales. Alguien en la mesa, probablemente el asesor legal, respira profundamente y dice: «tranquilos, según el RGPDE tenemos 72 horas para notificar a la Agencia de Protección de Datos. Vamos a analizar la situación».

Es en ese preciso instante cuando las empresas cavan su propia tumba reputacional.

Porque mientras el comité de crisis debate el alcance legal del incidente, en Twitter (ahora X) un usuario ya ha subido un pantallazo de la app caída. Un empleado ha filtrado en un foro que «los ordenadores no van». Dos medios de comunicación económicos ya están llamando al director de comunicación.

Bienvenidos al Real Time de la crisis. Como solemos decir en Señor Lobo & Friends, hoy las crisis se retransmiten en riguroso directo. Y en este escenario hiperconectado, hipertransparente e hipervulnerable, los tiempos del compliance normativo y los tiempos de la reputación viajan a velocidades radicalmente opuestas.

DORA. El consejo de administración bajo el foco

Con la entrada en vigor del reglamento DORA (Digital Operational Resilience Act) para el sector financiero y sus proveedores, las reglas del juego han cambiado drásticamente. Hasta hace poco, la ciberseguridad era «un problema de los de IT». Si algo fallaba, las miradas apuntaban al CISO o al director de tecnología.

DORA dinamita esa excusa. La normativa pone la responsabilidad legal y última de la gestión del riesgo tecnológico directamente sobre los hombros del consejo de administración. Los consejeros ya no pueden alegar desconocimiento tecnológico. Deben aprobar, supervisar y ser responsables de la estrategia de resiliencia digital. Si hay una negligencia grave, las sanciones pueden afectarles a nivel personal y directivo.

Esto genera una presión enorme. Cuando el ciberataque impacta, el instinto natural de un consejo de administración asustado por las responsabilidades de DORA y del RGPD es el silencio o la negación. Quieren certezas absolutas antes de emitir un comunicado. Quieren que los forenses informáticos les juren sobre una biblia qué dato exacto se ha exfiltrado antes de dar la cara.

Pero el reloj de la reputación no espera a los peritos.

El abismo entre la ley y la confianza

Aquí radica la gran paradoja de la comunicación de crisis contemporánea. El compliance te marca hitos legales: notificaciones al regulador en plazos de 4 o 24 horas (según DORA), notificaciones de brechas de datos en 72 horas (RGPDE).

Pero el negocio y la reputación se desangran en los primeros 15 minutos.

Si en esas primeras horas de vacío informativo la empresa no asume el liderazgo de la narrativa, otros lo harán por ella. Los ciberdelincuentes (que ahora publican en la Dark Web las pruebas de tu hackeo), los clientes frustrados, los medios o los reguladores. Cuando la compañía por fin saca su aséptico comunicado revisado por tres bufetes de abogados al cabo de dos días, el tribunal de la opinión pública ya ha dictado sentencia. Y la condena es la pérdida de confianza.

El plan de contingencia reputacional. Valores y personas en el centro

¿Qué debe hacer entonces un consejo de administración a la altura de los tiempos? Entender que, ante un ciberataque, el plan de recuperación de desastres informáticos no sirve de nada si no va acompañado de un plan de contingencia reputacional.

Y este plan no va de salvar los muebles de la marca con frases hechas. Va de responder desde los valores corporativos, poniendo a las personas en el centro.

  1. Reconocer la vulnerabilidad en Real Time. No pasa nada por decir «Estamos sufriendo una incidencia, estamos investigando, os mantendremos informados». La transparencia temprana compra paciencia. El silencio genera sospecha.

  2. Proteger a las víctimas antes que al logo. Si hay posibilidad de que los datos de tus clientes estén expuestos, tu primera comunicación no debe ser para decir «somos muy seguros, esto ha sido muy sofisticado». Debe ser para decir a tus clientes qué deben hacer para protegerse (cambiar contraseñas, vigilar sus cuentas). Empatía operativa.

  3. El Consejo debe liderar, no esconderse. En la crisis en riguroso directo, el consejo debe empoderar al equipo de comunicación para ejecutar respuestas ágiles y preaprobadas. No se puede reunir al máximo órgano de gobierno para debatir una coma en un tuit de contingencia.

Sobrevivir al directo

El reglamento DORA es un avance necesario para blindar las operaciones de nuestras empresas. Pero el consejo de administración no debe confundir cumplir con el regulador con cumplir con la sociedad.

El compliance te evitará la multa (o la reducirá). Pero solo un liderazgo valiente, transparente y rápido, capaz de gestionar la ansiedad del «riguroso directo» poniendo a las personas por delante de los sistemas, te salvará el negocio.

Porque al final del día, los servidores se formatean y se restauran. La confianza, una vez que se pierde en Real Time, tarda años en volver a cargar.

En Señor Lobo & Friends podemos ayudarte con todo esto. Llámanos.

 

Imagen de Luis Serrano

Luis Serrano

Director General en Señor Lobo & Friends. Con más de 23 años en la comunicación de crisis y emergencias es uno de los mayores expertos del país. Fue director de crisis en LLYC y jefe de prensa del 112 de Madrid durante el 11M.

Posts relacionados

Cómo recuperar tu reputación frente a la IA tras un litigio

Polarización interna: el riesgo que amenaza tu reputación corporativa

Síguenos para estar informado