En la época actual, los ciberataques son una amenaza real para las organizaciones de todos los tamaños. De hecho, en los últimos meses varias empresas de nuestro país han sido víctimas de algún ataque cibernético o del robo de sus datos. Este tipo de ataques pueden desembocar en una crisis de reputación para la marca, ya que los usuarios tienden a desconfiar ante este tipo de situaciones. Por ello, es fundamental que las empresas estén lo más preparadas posibles para responder a estas amenazas, también desde el ámbito de la comunicación.
A nivel normativo, la Directiva NIS2 aprobada por la Unión Europea, que se está trasponiendo en España a través del Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad y que está en proceso de tramitación, aborda cómo las empresas deben reforzar su ciberseguridad. Por ejemplo, las compañías tiene que contar con un responsable en esta materia, formar a sus trabajadores para conocer este tipo de amenazas, hacer auditorias para conocer la ciberresiliencia de su compañía o notificar incidentes de seguridad graves.
Es cierto que esta nueva regulación se aplicará a las entidades públicas o privadas que tengan su residencia fiscal en España y que se encuentren dentro de los sectores de alta criticidad y otros sectores críticos, como pueden ser las empresas energéticas, de transportes, infraestructuras sanitarias o digitales, gestión de residuos, servicios de mensajería o investigación, entre otros. Sin embargo, cualquier empresa, sea del sector que sea, en el contexto actual, debería contar con sistemas de ciberseguridad fuertes y, sobre todo, con un plan para responder ante un ataque de este tipo.
En este sentido, a nivel de estrategia y de comunicación, ¿qué puede hacer una compañía para recuperar la confianza de su público en caso de sufrir un ataque cibernético? Te dejamos aquí algunas cuatro ideas clave:
- Acción-reacción: la organización debe comunicar lo sucedido lo más rápidamente posible, detallando las medidas que está tomando para resolver el problema y, en especial, para proteger los datos de sus clientes si éstos han sido revelados. Lo fundamental es trasladar confianza a los públicos objetivos y mostrar certidumbre ante esta situación.
- Tomar medidas en materia de ciberseguridad: la prevención es clave. Invertir en soluciones de ciberseguridad y formar al personal son pasos fundamentales para reducir el riesgo de futuros ataques, incluso para aquellos sectores que no estén obligados a hacerlo por ley. Esta actuación es aún más necesaria si se produce una crisis, ya que si la empresa promueve este tipo de iniciativas demostrará que está aprendiendo de sus errores, quiere mejorar y ofrecer el mejor servicio.
- Plan de comunicación de crisis: contar con un plan de comunicación de crisis en el que se incluya cómo gestionar un ciberataque es esencial. Es importante, por ejemplo, tener portavoces formados en esta materia que sepan dar repuestas a esta situación y mensajes clave preparados que permitan gestionar la narrativa durante la crisis.
- Adaptación normativa: las organizaciones deben demostrar su compromiso con la mejora continua de su seguridad digital, estar al tanto de los cambios normativos y tener la capacidad para adaptarse. De esta forma, la empresa tendrá una imagen solvente y eficaz ante sus públicos, ante las instituciones y ante la población en general.
Los ciberataques pueden afectar gravemente la reputación de una organización. Sin embargo, contar con un plan de crisis, actuar con rapidez y transparencia, y apostar por la formación y mejora continua de la ciberseguridad permite mitigar los daños y recuperar la confianza de los diferentes públicos.
María Delgado, consultora sénior en Estudio de Comunicación.
