Pedro Coll: La lotería de los ciberataques seguro que te toca

Con la llegada de la temporada navideña, el espíritu festivo impregna el aire y con él, la anticipación de la tradicional Lotería de Navidad. En estas fechas, la lotería no solo es una tradición arraigada, sino también una fuente de esperanza y expectativas para muchos. Aunque las probabilidades de ganar son ínfimas, de un 0,00001% concretamente, seguimos comprando décimos año tras año, para participar en este juego de azar.

En este contexto ya festivo, y antes de retirarnos de la oficina para disfrutar de unos días en familia, cabe reflexionar sobre la conexión entre el azar de la lotería y la realidad empresarial.

En el mundo de la empresa, existe un juego de probabilidades que se asemeja a la lotería pero que resulta mucho menos agradable. Nos referimos a esa sensación constante de amenaza. Se llama permarriesgo. En el caso de las ciberamenazas es muy evidente.

«Un ciberataque, igual que otro tipo de riesgos, puede provocar una reevaluación de lo que los grupos de interés piensan sobre un marca».

Los ciberataques suponen una amenaza persistente que ha venido para quedarse. En los últimos años, estos ataques han sido una realidad frecuente a nivel mundial y España no ha sido una excepción. Según el informe de Ciberpreparación de Hiscox, se estima que el 49% de las empresas españolas han sufrido al menos un ciberataque durante el 2023. Así, no es de extrañar que la tipología de riesgos que más hemos gestionado en LLYC durante 2023 han sido ciberriesgos.

Un ciberataque, igual que otro tipo de riesgos, puede provocar una reevaluación de lo que los grupos de interés piensan sobre un marca (“Esta empresa no es segura”, “No me proporciona información suficiente respecto a lo que está ocurriendo”, “Su servicio está dejando mucho que desear”,…).

Son juicios que todas las personas hacemos, que cambian nuestra predisposición a relacionarnos con una marca. A comprarla cuando somos el consumidor, a invertir en ella cuando somos accionistas, a trabajar en ellas cuando somos empleados,… Por tanto, un ciberataque no supone solo un problema operativo. La forma en la que se gestione la comunicación será clave para que el impacto reputacional sea negativo.

Ahora, que no cunda el pánico. Los ciberriesgos se pueden gestionar al igual que cualquier otro riesgo reputacional. Para ello, hay que planificar y poner en práctica procesos específicos de gestión de la reputación. De hecho, según PwC, 7 de 10 empresas van a aumentar sus presupuestos en gestión de crisis.

Claves

Desde nuestra experiencia, hay varias claves para gestionar correctamente la comunicación durante un ciberataque. Aquí van 6 décimos para jugártela y que un ciberataque termine convirtiéndose en una crisis reputacional:

1. No prepararse y ponerse a prueba. Parece obvio, pero no se hace. Cualquier protocolo de crisis que no incluya planes de respuesta ante ciberriesgos está incompleto. Igualmente cualquier plan de continuidad de ciberseguridad que no tenga en cuenta la comunicación, también es insuficiente.
2. No estar al tanto de lo que hacen los equipos de tecnología y legal. La respuesta al ciberataque es un trabajo de coordinación entre equipos. Esta coordinación es fundamental para entender el tipo de ataque, la profundidad del mismo y las implicaciones legales. Es importante además que el equipo de comunicación facilite la información interna entre los equipos y favorezca el entendimiento de la estrategia que se está siguiendo para solucionar el incidente.
3. No diseñar diferentes escenarios. Durante las primeras horas y días después del ciberataque lo normal es que no se disponga de información suficiente para dar respuesta a todas las preguntas. Por eso es necesario trabajar la comunicación desde la planificación de escenarios, con mensajes adaptados a cada público, y reevaluar la estrategia de comunicación en función de la evolución del ciberincidente.
4. No comunicar o comunicar en exceso. La comunicación es uno de los factores clave a la hora de gestionar un ciberataque y minimizar su impacto reputacional. Al sufrir un ciberataque, los grupos de interés de la organización afectada reevalúan el juicio que tienen sobre la marca desde el punto de vista de la credibilidad y de la transparencia. “¿Está haciendo lo que se supone que tiene que hacer para solucionarlo?”, “¿Me puedo fiar de lo que me están contando?”. Por eso, es imprescindible que la empresa traslade en la comunicación tanto diligencia como información útil a los afectados.
5. Pensar que el trabajo termina cuando se ha recuperado la operatividad. Tras recuperar la operatividad habrá que cerrar todos los puntos de contacto abiertos durante el ciberataque, atender las exigencias de reporte de las autoridades, resolver dudas pendientes, … Y lo más importante, aprender de este caso para estar mejor preparado para otras situaciones de riesgo.
6. No insistir en la concienciación interna. Después de haberse recuperado de un ciberataque, es un momento oportuno para implementar y reforzar programas de formación y compliance, pues habrá una mayor predisposición para interiorizar este tipo de mensajes.

Frotar el boleto de lotería en la tripa de una mujer embarazada o en el lomo de un gato negro, intercambiar boletos o colocar un alfiler en la chaqueta son algunos de los rituales que se utilizan para atraer a la suerte con la Lotería de Navidad.

Es muy probable que no nos toque el Gordo, pero sí es muy probable que nos toque gestionar un ciberataque. Dicho esto, que los ciberdelincuentes reciban carbón esta Navidad, que tengas un feliz 2024 libre de crisis y que, si te toca, por lo menos estés preparado para ella.