«La ciberseguridad es uno de los riesgos fundamentales al que debe prestar atención el dircom»

La reputación corporativa tiene hoy muchas aristas. La crisis puede venir desde muchos lugares, a veces inesperados, por lo que el director de comunicación tiene cada vez más áreas de responsabilidad. Una de ellas es la ciberseguridad, que ya no solo afecta a las compañías desde el punto de vista tecnológico y jurídico, sino también al reputacional.

En su Informe de Riesgos Globales 2020, el Foro Económico Mundial sitúa los ciberataques entre los diez riesgos con mayor expectativa de incremento para los expertos consultados. De acuerdo con la consultora de riesgos Aon en su Estudio sobre Ciberseguridad y Gestión del Riesgo Ciber en España, si una organización sufre un ciberincidente, y se pone de manifiesto que la causa ha sido la falta de medidas de seguridad, se traduce en una pérdida de confianza o daño reputacional que afecta al fondo de comercio, a la imagen comercial y al potencial de generación de negocio”.

Un ejemplo muy claro de ello es el ciberataque que sufrió en marzo el SEPE, el sistema público de empleo, que ocasionó graves problemas para los usuarios del organismo y un severo golpe a su credibilidad y reputación entre los ciudadanos.

Cinco dimensiones

Es tal su relevancia hoy en día que, para Iván Pino, socio y director sénior de Crisis y Riesgos en LLYC, «el dircom tiene dos riesgos fundamentales a los que prestar atención en el futuro inmediato: los ambientales y los relacionados con la ciberseguridad«. En este último ámbito y desde el punto de vista reputacional, LLYC ha clasificado cinco dimensiones que pueden poner en riesgo la valoración favorable de una organización:

1. Dimensión Imagen: Los ciberriesgos de reputación pueden contradecir las expectativas emocionales o aspiracionales de los grupos de interés motivando que despierten sentimientos negativos sobre la empresa y sus marcas.

En esta dimensión, podemos encontrar los incidentes de ciberseguridad que se basan en la suplantación de la identidad digital de directivos de una empresa (como los “deepfakes”), y también, aquellos usos no autorizados de las marcas de una organización que los vinculen a mensajes ofensivos o acciones peyorativas para sus clientes, empleados, proveedores e inversores.

2. Dimensión Credibilidad: Los ciberataques pueden afectar a las expectativas pragmáticas de los grupos de interés impidiendo que la empresa cumpla con su promesa de valor, y provocando que no se sientan satisfechos con los servicios y productos prestados.

Aquí se sitúan eventos como los ataques de denegación de servicio (DoS) o los de ransomware, que impiden el acceso a las páginas web, correos electrónicos y sistemas informáticos necesarios para que los empleados gestionen y los clientes reciban los servicios y productos.

3. Dimensión Transparencia: Los eventos de ciberseguridad también pueden comprometer las expectativas relacionales de los grupos de interés cuando perciben que la empresa les engaña sobre lo sucedido o que no les proporcionan una información suficiente.

Para LLYC, este es uno de los mayores riesgos de reputación en los que se puede incurrir cuando se sufre un ciberataque. La tentación de ocultar los hechos puede ser fuerte cuando se piensa que todavía no se han hecho públicos, y más aún, cuando existe la posibilidad de una fuga de información con datos personales, sostienen desde la consultora.

Por eso, en este último caso, la legislación española obliga a notificar el incidente a la Agencia Española de Protección de Datos, autoridades pertinentes u organismos equivalentes, y a las personas cuyos datos se hayan visto afectados para que puedan tomar las medidas oportunas en un plazo máximo de 72 horas desde su conocimiento.

4. Dimensión Integridad: El comportamiento de la empresa ante una cibercrisis puede contravenir las expectativas éticas de los grupos de interés en el momento en que sospechen que no actúa de forma ejemplar o con la honestidad debida.

En esta clasificación pueden entrar las acciones de “ingeniería social” que utilizan las identidades o marcas de una empresa para captar datos de forma fraudulenta (phishing). Y también, todos aquellos actos de acoso y extorsión que utilizan perfiles falsos de la organización para amenazar con información dañina. Cuando la empresa no desvela y denuncia estas prácticas con celeridad, favorece comportamientos ilícitos y deshonestos en nombre de la compañía que pueden terminar empañando su propia reputación.

5. Dimensión Contribución: Finalmente, los eventos críticos de ciberseguridad pueden quebrantar las expectativas sociales de los grupos de interés si ponen en cuestión la contribución positiva de la empresa a la mejora de la sociedad.

En esta categoría podemos encontrar las incidencias relacionadas con el hacktivismo, que emplea diversos tipos de ciberataques para atraer y movilizar adeptos a determinadas causas políticas, sociales, ambientales o laborales.

¿Cómo evitar el daño reputacional?

Para evitar que un ciberataque lastre la reputación de una compañía, Iván Pino considera fundamental en primer término «entender que los riesgos de ciberseguridad también son reputacionales». «Muchas veces no se tiene en consideración», opina. De hecho, según el directivo de LLYC «ahora es cuando se está empezando a tomar conciencia del riesgo verdadero que esto supone para la reputación y para los negocios».

Una vez superada la fase de la concienciación, es primordial la «prevención y la preparación», según Pino. Antes de que se produzca un eventual ciberataque, la compañía debería disponer de herramientas específicas de vigilancia y mapeo de ciberriesgos para anticipar la amenaza.

«Ahora es cuando se está empezando a tomar conciencia del riesgo verdadero que la ciberseguridad supone para la reputación y para los negocios».

Además de ello, el experto de LLYC cree que las organizaciones deben tener «una preparación muy específica para evitar y mitigar del daño reputacional», lo que requiere protocolos de actuación específicos, materiales de comunicación, simulacros y formación. Además, es necesario «conformar un equipo de resolución de la crisis que combine capacidades, no solo tecnológicas y jurídicas, también de comunicación».

Para todo ello, una firma de comunicación como LLYC está formando equipos multidisciplinares mediante acuerdos y alianzas para integrar la solución precisamente en esos tres ámbitos: reputación, jurídico y tecnológico. Nosotros «tenemos una capacidad de mirada holística y además especializada desde el punto de vista de la reputación», señala Pino.