Esta mañana he participado el en X Congreso de ENATIC en una mesa redonda sobre el rol del abogado ante las brechas de seguridad y crisis por ciberataque, invitado por Paco Pérez Bes, abogado y amigo referente en todo lo que tiene que ver con el derecho digital.
Mi intervención ha girado en torno al papel de la Comunicación en la neutralización de una crisis por ciberataque. Quiero compartir en este post algunas de las que fueron mis principales reflexiones.
El diccionario Oxford ha elegido recientemente el término PERMACRISIS como la palabra del año, entendido como ¨periodo extendido de inestabilidad e inseguridad¨. No cabe duda que en los últimos 3 años se ha consolidado en el mundo, y en España, un contexto de incertidumbre constante que incrementa de forma exponencial las crisis a las que nos enfrentamos. Un breve repaso de algunas de ellas. Por hacer memoria:
- Brexit
- COVID
- Cambio climático
- Catástrofes medioambientales
- Volcán de La Palma
- Borrasca Filomena
- Crisis de suministros
- Guerra de Ucrania
- Guerra híbrida / ciberataques
- Crisis energética
- Crisis alimentaria – hambrunas.
- Estanflación + crisis de deuda / cierres de empresas. Crisis de las tecnológicas: Twitter, Meta, Amazon.
- Cryptoinvierno
- Conflicto China- Taiwán
- Y por supuesto, Norcoreano
El relato de las crisis nos acompaña desde siempre aunque ahora vivimos el Real Time de la Crisis. El cambio de paradigma comunicativo es un hecho incontestable en virtud de nuestras extensiones móviles. Todos y cada uno de nosotros somos un medio de comunicación en potencia deseoso de compartir lo que nos pasa. Y si es una crisis…, pues con mayor motivo.
En este escenario de hiperconexión, hipertransparencia y, por lo tanto, de hipervulnerabilidad, ¿Deben las organizaciones en crisis ser proactivas, o reactivas, en su comunicación con sus grupos de interés?
Antes de llegar a una conclusión ¿Qué dice el art 18.4 CE, el RGPD, Ley Servicios Sociedad de la Información y Directiva NIS. Miremos sólo lo más relevante en el RGPD.
En caso de ciberataque en el que hayan sido expuestos datos personales, existe la obligación de notificación en 72 horas al CERT y a los usuarios afectados a través del DPO y la obligación de comunicación pública cuando no se sabe a cuantas personas afectan las incidencias o fugas de seguridad de los datos.
Table of Contents
Empleados, un coladero
Por otro lado, los empleados, gracias a sus extensiones móviles, actúan como portavoces no autorizados de la compañía a través del dark social (WhatsApp mayormente). ¿Quién no tiene un cuñado al que filtrarle que tu empresa acaba de ser hackeada? ¿Cuánto va a tardar el cuñado en compartirlo en Twitter? Que le pregunten a Telefónica en Wannacry.
Este riesgo puede mitigarse si además de educar al empleado a prevenir ciberataques apostamos por convertirles en cibercolaboradores y ciberportavoces autorizados ayudando a proyectar nuestros mensajes corporativos en situaciones de crisis.
La comunicación interna no existe. Creo que esto ha quedado claro. Toda la comunicación interna es externa. Convirtamos este hecho en una oportunidad para, siendo transparentes, proyectar los valores de la compañía y sus mensajes.
La hora de Oro ha muerto. Vivimos el Real Time de la crisis. Toda nuestra cadena de valor va a comunicar y no sólo los empleados / cuñados ante una crisis por ciberataque.
¿Proactivos o reactivos ante crisis por ciberataque?
Las tareas de comunicación han de estar al mismo nivel que los procesos legales y las tareas técnicas. Es más, actúan “ya” para tratar de neutralizar el daño reputacional y en el negocio. Es evidente que a la vez están trabajando los equipos de Sistemas y departamento Legal pero, en el caso de los abogados, su prioridad es el futuro litigio. En la comunicación de crisis la prioridad es salvar a la compañía ahora. De no lograrlo, puede que no quede ni rastro de la misma o de alguno/s de sus directivos/s para entonces.
Debemos contar con sistema de evaluación del daño reputacional y con procedimientos de actuación específicos. La anticipación de riesgos y el entrenamiento para la crisis forjan organizaciones resilientes ante una crisis por ciberataque.
Cuidar la cadena de valor
Nadie con dos dedos de frente va a una guerra sin aliados. En tiempo de permacrisis es precisa la lubricación constante de la cadena de valor; que las relaciones no chirríen.
Es vital la anticipación de riesgos y un propósito corporativo que ponga a las personas en el centro como la mejora vacuna para mitigar el daño reputacional y en el negocio en toda crisis por cibertataque. ¡Por Dios! Ten un mínimo plan de contingencias.
Y recuerda, en las crisis por ciberataque el 80% de la gestión de una crisis es comunicación con la cadena de valor. Esta debe estar basada en la transparencia y la honestidad.
Para terminar, no me canso de parafrasear a Warren Buffett. Se necesitan 20 años para construir una reputación y cinco minutos para arruinarla. Añado que, en mi opinión, basta con un tuit de un cuñado motivado.