El daño está hecho: hubo una filtración de datos en la organización. ¿Qué hay que hacer? O como diría cierto personaje de la televisión mexicana: “¿Y ahora, quién podrá ayudarnos?”
Además de contener, remediar la situación y contar con un plan de contingencia básico, el CISO – ese personaje multifacético que establece procesos para responder a los incidentes de seguridad IT – tendría que coordinarse con su área de Comunicación para definir cuáles serían las acciones que debería tomar la organización a nivel comunicativo frente al incidente.
Cuando se presenta una crisis, es necesario tomar decisiones de manera ágil, atender rápidamente a las personas afectadas y responder, en caso de que el incidente se haga público, a preguntas de los medios de comunicación. Hay que estar preparados.
Manejo de crisis desde una perspectiva comunicativa
El manejo de crisis involucra un proceso que busca corregir los impactos causados por una situación adversa para evitar o minimizar el daño a una organización. Es decir, hay que tratar de que haya la menor afectación posible a su reputación en el mercado.
Esto implica el trabajo preventivo de un comité sobre diferentes escenarios de riesgo. Dicho comité plantea acciones a seguir por las distintas áreas de la organización ante una situación de emergencia. Así mismo, define roles, políticas y procesos para afrontar un escenario adverso. Es aquí donde entra el aspecto comunicativo, ¿cómo tendría que actuar la organización si el incidente se hace público?
Primero habrá que evaluar la situación y para conocer el panorama de la misma se recomienda hablar con aquellos empleados que pudieran saber qué sucedió, además de “sintonizar el clima emocional externo”, es decir, revisar la interpretación que se le está dando al problema afuera de la organización, por ejemplo, qué están diciendo los medios informativos y el público en general.
Una vez medido el impacto ante la opinión pública, viene una etapa en la que será de utilidad tener asesores legales – además de los de comunicación – para dimensionar la crisis y conocer los riesgos legales que podrían enfrentarse.
Cuando se haya identificado qué originó la crisis, hay que notificarlo internamente al personal y explicar lo que hará la organización para enfrentar la situación.
Es necesario asignar voceros que estén preparados para dar una respuesta oficial a los cuestionamientos que seguramente se le harán a la empresa. Aquí no hay “lado B”: Ningún empleado debería discutir públicamente la versión de la compañía.
¿Cómo preparar la postura oficial ante el incidente?
La mencionada “respuesta oficial” debe prepararse considerando a quienes puede impactar la crisis y qué será lo que les preocupe de la situación.
Si la compañía tiene un área de relaciones públicas o tiene el servicio de una agencia especializada en la materia, este es un momento clave para trabajar en conjunto.
Por ejemplo, Ariadna Cuevas, especialista de relaciones públicas de la agencia CEMPR Digital, afirma que la ciberseguridad “es un desafío que no se supera en solitario”. La comunicadora considera que las agencias forjan alianzas estratégicas entre empresas del sector.
“Crean una red sólida y colaborativa destinada no solo a fortalecer la posición de cada empresa, sino que también a contribuir al bienestar general de la comunidad digital”, señala Cuevas.
En el caso de que haya habido una violación de datos, es muy probable que los clientes estén preocupados por saber si se robaron su propia información y las contraseñas de sus tarjetas de crédito, o por averiguar si perderán temporalmente acceso al servicio.
Cuando se haya entendido internamente qué sucedió habrá que responder a la crisis. En dicho escenario, los voceros tendrán que hacer una declaración que aborde el problema de manera asertiva, con una respuesta creíble y con fundamentos. Aquí juega un papel preponderante la capacitación de voceros que brinde previamente el área de comunicación o sus asesores.
Otro tema será elegir el canal de comunicación más adecuado: un mensaje en redes sociales, un comunicado o conferencia de prensa, o una combinación de estas opciones.
Si la falla fue de la empresa, tendrá que asumir la responsabilidad y explicar qué acciones está tomando para corregir el problema.
No resulta recomendable pretender que no ocurrió nada o negar el problema; no sería una buena práctica de gestión de crisis. Resultaría como echar la basura bajo la alfombra; tarde o temprano va a salir a la luz.
Que la crisis no sea un lastre
Amanecerá y veremos. Cuando las menciones negativas disminuyan, la organización no debería seguir haciendo alusión al problema.
Será tiempo de reconstruir el valor de la marca para, idealmente, mantener la reputación y seguir contando con la fidelidad de los clientes.
Pero, atención: La labor del comité de manejo de crisis no termina aquí. Ahora tendrá que hacer un análisis post-mortem, identificar errores para evitar cometerlos de nuevo y reforzar el plan preventivo.
