¿Qué hacer después de una fuga de datos?

Foto: Reuters

Recuperar la reputación y retener a los clientes deben ser aspectos clave a considerar para cualquier empresa

 

Por: Alberto García Álvarez*

 

Este año, los ataques cibernéticos, la fuga y el robo de información se han vuelto el pan de cada día en materia de ciberseguridad afectando a empresas de todos los tamaños e industrias y México no es ajeno a este fenómeno como lo refleja la denuncia hecha hace unos días por la tienda departamental Liverpool.

Ciberataques como ése o como el que sufrió semanas atrás Sony Pictures deben ser una llamada de alerta tanto para las organizaciones, como para los consumidores, pues son parte de una realidad cercana y han dejado atrás la ficción. Datos de Symantec revelan que, en el último año, los hackers han estado detrás del 57% de las fugas de datos registradas, llevándose datos como direcciones, nombres reales y números o claves de identificación personal.

Las fugas de datos seguirán ocurriendo y, como no existe el 100% de seguridad absoluta, es necesario enfocarse en la reducción de riesgos, es decir, que las empresas conozcan y detecten las amenazas que enfrentan o podrían enfrentar y se preparen proactivamente. Para ello deben combinar la tecnología con políticas que prevengan las amenazas, las identifiquen y les permitan responder tan rápido como sea posible. También hay que educar a los empleados y designar a un equipo interno responsable de evaluar y tomar las acciones necesarias tras una fuga o incidente cibernético.

Las horas, los días, las semanas e incluso los meses posteriores a una fuga de datos pueden parecer los momentos más complicados. Muchas veces, las empresas que han sufrido una situación así experimentan la pérdida de confianza de sus clientes, daño en la moral de sus empleados y preocupación de sus accionistas. De acuerdo con una encuesta del Instituto Ponemon, el 54% de las empresas cree que puede demorar de diez meses a más de dos años restaurar su reputación tras una fuga de datos.

Sin embargo, la diferencia entre el tiempo de recuperación y el impacto posterior no tiene que ver solo con el tamaño de la fuga, sino que depende también de cómo responde la empresa ante la crisis. En este sentido, dos factores son esenciales para recuperarse y minimizar el impacto: trabajar de inmediato en restaurar la confianza en la marca y tomar acciones rápidas para evitar la pérdida de los clientes.

En un mundo perfecto, todas las empresas tendrían un plan establecido para tratar con una fuga antes de que suceda. Sin embargo, en México la realidad es otra y la mayoría de las empresas no cuenta con un plan, ni es algo que tienen contemplado ya que no están obligadas y la legislación no les requiere notificar estos incidentes a las autoridades o a sus propios consumidores como sucede en otros países.

Sin embargo, tener un plan y una estrategia establecida y probada por anticipado facilita el proceso post-incidente. Así, una vez identificada o expuesta una fuga, cada empresa debería activar el plan de inmediato y dejar las estrategias de recuperación en manos de profesionales experimentados, para lo cual se puede considerar la contratación de servicios de investigadores forenses, especialistas en relaciones públicas, monitoreo de crédito e identidades, así como servicios de consultoría como parte del proceso de recopilación de información. Esto le permitiría a la empresa analizar los hechos, tener la información sobre el incidente y tomar las decisiones necesarias sobre quién y cómo deben ser notificados los afectados sobre la posible exposición de su información. Asimismo, se debe trabajar en el anuncio correspondiente, en el cual se recomienda ofrecer una disculpa y asumir la responsabilidad por lo ocurrido según sea el caso.

Posteriormente, mientras se trabaja en superar la fuga o incidente, la empresa debe también enfocar esfuerzos en la retención de los clientes y en restaurar su confianza. Deben ayudar a que los consumidores comprendan que son importantes para la empresa y que lo ocurrido es un asunto serio, independientemente de qué información se vio afectada. Sin embargo, hay que considerar que una situación así siempre generará cierto riesgo de pérdida de clientes generado por la desconfianza y el miedo, por eso este es un aspecto importante a incluir en el plan. También debe considerarse que quizá sea necesario hacer inversiones adicionales en materia de mercadotecnia y comunicación. Por ejemplo, la fuga de datos que sufrió Adobe en 2013, afectó a 38 millones de sus clientes, y le representó a la compañía una inversión de más de 17 millones de dólares, solamente considerando aspectos relacionados con contacto y envío de las cartas de notificación a sus clientes. Un estudio realizado por The Economist Intelligence Unit, reveló que 1 de cada 3 clientes de empresas que sufrieron una fuga de datos en el último año, dejó de hacer transacciones comerciales con ellas “por la fuga”.

Así que, en este escenario, y a medida que las empresas se preparen mejor en materia de prevención y en el manejo de robos de información, los clientes comenzarán a temer menos y a confiar más, en lugar de salir corriendo a los brazos de los competidores.

 

 

*Alberto García Álvarez es Director General para Symantec en México y junto con su equipo, ayudan diariamente a los usuarios, las empresas y los gobiernos a proteger y administrar su activo más valioso: la información.

 

Twitter: @SymantecLatam   @A2GA

Web: www.symantec.com.mx

 

Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.