Ciberataque
En España los ciberataques están a la orden del día. En concreto 45.000 al día, según un informe de Datos 101. Y ojo porque estos ataques no solo van dirigidos a grandes multinacionales. Cada vez más las empresas de tamaño medio están en el objetivo de los ciberdelincuentes.
Depende más de la facturación y del tipo de datos que manejan, que de la cantidad de empleados.
El coste de sufrir un ciberataque varía en función del tamaño, la calidad del dato sustraído o de la tipología de ataque, pero supera los 200.000 euros de media para una pyme (ERNI España).
¿Se pueden evitar? El riesgo cero no existe, pero una manera de minimizar su impacto es enfocar el trabajo de la prevención no solo desde el punto de vista técnico o de legal. También desde la gestión reputacional.
El eslabón más débil del sistema de seguridad de cualquier empresa siempre somos las personas. Por eso, es tan importante la herramienta técnica como la cultura de seguridad que haya en la organización.
Los ciberataques son momentos de verdad para la reputación de las marcas
Las noticias recientes sobre hackeos y ciberataques a grandes marcas pone sobre la mesa una verdad incómoda, pero necesaria: los ciberataques no son solo un problema técnico, ni un solo quebradero de cabeza legal. Los ciberataques son momentos de verdad para la reputación de las marcas.
En estos momentos no se prueba solo la robustez del sistema informático. Se evalúa -a velocidad de red social- el sistema inmunitario reputacional de la empresa. ¿Estabas preparado para esto? ¿Lo viste venir? ¿Estás respondiendo de manera honesta y eficaz?
La primera dimensión que entra en juego es la credibilidad. Cuando una empresa es atacada, los stakeholders no se preguntan solo qué han hecho los ciberdelincuentes. Se preguntan qué hizo la empresa para evitarlo, cómo está respondiendo y si tiene el control de la situación.
No basta con que los datos vuelvan a estar seguros. Hay que demostrar que la organización es antifrágil: que no solo aguanta el golpe, sino que aprende, se adapta y mejora después del impacto.
La segunda es la transparencia. Hoy nadie criminaliza a una marca por ser víctima de un ataque. Pero sí se penaliza el silencio, la opacidad o el relato diluido.
Las simulaciones de crisis por ciberataques son una herramienta cada vez más común en organizaciones, incluso en sectores estratégicos obligatorios
Se espera que las empresas informen con rigor, a tiempo y a quién debe saberlo: clientes, empleados, autoridades, medios. La comunicación no es un añadido; es parte de la solución.
La tercera es la integridad. Cualquier decisión que pueda ser percibida por los públicos de la empresa como un comportamiento poco ético, estará contradiciendo los valores y propósito de la marca.
Según Hicox algo más del 60% de las empresas que sufren un ransomware paga el rescate. Pero, en el momento de tomar la decisión, ¿se han parado a pensar cómo explicárselo a sus grupos de interés?
Por eso, una de las claves que hemos aprendido haciendo simulacros es que la ciberseguridad ya no se gestiona solo desde los servidores: también lo hace desde el comité de dirección. No basta con tener protocolos técnicos.
Hay que preparar a los líderes. Simular el caos antes de que se produzca en la vida real. Las simulaciones de crisis por ciberataques son una herramienta cada vez más común en organizaciones, incluso en sectores estratégicos obligatorios.
No se trata de adivinar el futuro, sino de anticipar los fallos de coordinación, los puntos ciegos, los mensajes confusos… Es mejor descubrir las grietas en un ensayo que en el directo de una crisis real.
Porque, en estos casos, no se trata solo de recuperar el sistema. Se trata de no caer en esos malditos cinco minutos en los que, dice Warren Buffett, la reputación se destruye.
*** Pedro Coll es director de crisis y riesgos de reputación en LLYC
