Impredecibilidad es un concepto que usamos disciplinadamente quienes nos hemos ocupado de ser los guardianes y defensores de la reputación de diversas organizaciones que se ven expuestas a diario a los más variopintos escenarios de riesgo que puedan erosionar su confianza y reputación.
Y es que por más que una compañía cuente con un sólido sistema para anticipar, gestionar o recuperarse de una crisis reputacional, el rumbo que coja cualquiera de estos escenarios, resulta de las cosas más desafiantes a la hora de tomar decisiones al interior de los equipos designados por las organizaciones para administrar estas situaciones, los llamados comités de crisis.
Al final, prevalecen la experiencia, el entrenamiento y la adaptación profesional a la situación.
Sin embargo, uno de esos escenarios está llamado a revolucionarlo todo en lo referido al tratamiento que requiere en materia comunicacional y, por supuesto, el asunto de la impredecibilidad. Se trata de los ciberataques.
Aparentemente los ciberataques no tienen que ver con alguna afectación a la reputación de una organización, sin embargo, hoy son el principal riesgo para el que deben estar preparadas, indistintamente de su naturaleza o el sector al que pertenezcan.
Según la empresa CISCO, el 60 % de las empresas que fueron atacadas cibernéticamente en 2017, vieron expuesto su caso en el escenario de las redes sociales y los medios de comunicación.
La pregunta no si su organización puede o no ser objeto de un ciberataque, sino cuándo.
No es en vano que dentro de los riesgos que mayor preocupación le generan a los CEO de las 1300 empresas más grandes del mundo, según KPMG, están estos, luego de los riesgos políticos y los tradicionales riesgos reputacionales (aunque puede interpretarse que lo reputacional es intrínseco a cualquier tipo de riesgo).
Y es que en este tipo de riesgo, en apariencia, llena de algoritmos y personajes opacos que se esconden tras capuchas, se ponen a prueba las vigas antisísmicas de las empresas: la exposición a un chantaje, el pago por un rescate de información sensible para el negocio y la más ruidosa y delicada: la perdida y robo de información privada de cualquiera de sus grupos de interés.
Existen casos emblemáticos como el de Target, Sony y recientemente el de British Airways, en donde no es de por sí el hecho del ataque el que generó la crisis reputacional, sino -como en casi toda crisis- la administración que en relación con las comunicaciones le dieron al mismo, el que incrementó su impacto negativo en la agenda de la opinión pública haciendo perder valor y confianza entre sus audiencias clave.
En este último caso, por ejemplo, se calcula que por lo menos 380.000 transacciones virtuales fueron afectadas en un periodo de tiempo en donde los cibercriminales, lograron capturar información sensible, como claves de tarjetas de crédito, del mismo número de usuarios. Un escándalo mayúsculo.
En Colombia, y en general en esta parte del mundo, aún no está generalizada la cultura de la preparación para afrontar este tipo de situaciones. De alguna manera, se sabe que existe algo llamado ciberataques, pero aún el conocimiento sobre el mismo término, es ínfimo y menospreciado en cuanto a su impacto a la reputación y confianza de una organización. En principio, cualquier directivo hoy debería estar en la capacidad de responder qué tan blindadas están sus infraestructuras cibernéticas para repeler cualquier ataque de esta naturaleza.
En la experiencia que hemos recopilado en modum respecto de la administración de estos escenarios, sin duda hay dos variables que hacen que la impredecibilidad de lo que allí suceda se convierta en su principal característica: por una parte, el tiempo que puede tardar en recuperarse una compañía luego de ser atacada, calculada en hasta 50 días; y por otra parte, la vulneración a la confidencialidad de los datos de cualquier grupo de interés para la compañía. Estos dos elementos combinados y muy difíciles de establecer en corto tiempo para, por ejemplo, dar una respuesta transparente y certera, se han convertido en una trampa para los encargados de las comunicaciones de las mismas.
Por esto a continuación van unas ideas que pueden ayudarle a contrastar con la realidad si su empresa está lista para enfrentar una crisis reputacional derivada de un ciberataque.
Lo primero es definir para su empresa qué es un ciberataque, o mejor, cuáles de las decenas que existen, pueden llegar a ocurrir en la realidad. Esto pasa por un proceso juicioso e interdisciplinario de indagación y auditoría con los equipos de tecnología y oficiales de la información, para acotar a un escenario real, qué de ese escenario infinito, puede ser realista para su empresa. De este análisis forman parte elementos propios de la operación, su naturaleza, su sector, los puntos de contacto que tiene con audiencias internas y externas, etc.
Lo segundo procurar establecer cuánto tiempo va a tardar la compañía en recuperarse de un ciberataque. Hemos estudiado casos que, por distintas razones, han tardado hasta 50 días en ese proceso, lo que supone que su equipo de crisis debe estar preparado para administrar de manera estratégica las comunicaciones en ese periodo de tiempo.
La pedagogía ante públicos internos en temas como el uso de la información y los equipo de los que dispone para su trabajo, se convierte en vital, por que por supuesto, es una barrera ante el riesgo, pero también puede convertir en una línea argumentativa ante una posible respuesta que se deba emitir ante alguna audiencia.
Otro de los aspectos vitales es, de la mano con el área jurídica, entender cuál es el marco normativo alrededor de este asunto. Dado que lo que está en la mitad es la privacidad de la información de alguno de sus grupos de interés, se hace relevante tener clara cuál es la normativa bajo la cual vamos a actuar en lo relacionado con las comunicaciones.
Entender ese marco normativo da pie a entender la institucionalidad que sobre este tema existe. En países como el nuestro, por ejemplo, existe una bastante madura, con Conpes al respecto incluido, del cual las empresas sacan muy poco provecho, y que brindan valiosas herramientas como actualizaciones y capacitaciones a los equipos encargados, además de una coordinación previa con las autoridades, que en el momento de administrar la situación, se hace invaluable.
Toda esta preparación deberá derivar en unas guías y protocolos con roles claros, equipos y voceros entrenados, audiencias identificadas y mensajes establecidos para afrontar la situación.
Y lo más importante: que las decisiones que se tomen estén soportadas en la preocupación por los clientes, la transparencia y unos pilares de gobierno corporativo los suficientemente robustos, son las premisas que determinarán el grado de severidad con que sus públicos de interés van a valorar el desempeño de la organización frente a la situación.
@danihriverac