El 60% de las pequeñas y medianas empresas europeas se ven obligadas a cerrar a los seis meses de sufrir la agresión por no contar con un plan para reforzar su reputación
Existen dos tipos de organizaciones: las que han pasado una crisis y las que tendrán que afrontarla en algún momento de su trayectoria. Por lo general, el problema radica en la manera de abordarla y, en última instancia, en llegar a superarla. La comunicación en ese momento deviene un factor clave y decisivo. En muchas ocasiones la falta de transparencia y la ausencia de protocolos y planes específicos de comunicación de crisis suponen los elementos que llevan a cualquier organización al fracaso.
Hay que tener en cuenta, y no se suele hacer, que las crisis y la mala gestión de la comunicación de crisis y de lo reputación online (ORM) y offline tienen consecuencias igual de devastadoras tanto para las grandes organizaciones o corporaciones como para las medianas o las pequeñas. Cualquier CEO o directivo de cualquier compañía debe asumirlo. Las crisis ocurren y gestionar la comunicación en ese tipo de situaciones resulta imprescindible. Ninguna está exenta. Es más, en general, las organizaciones más pequeñas suelen ser las más vulnerables y, especialmente, a los ciberataques.
Para evitarlo hay que protegerse en el aspecto técnico, pero también en el reputacional con un buen plan de comunicación de crisis.
Pequeños desprotegidos
Las cifras en este ámbito son contundentes y reveladoras en España. Las Pymes y usuarios particulares en el 2018 fueron los principales objetivos de los ciberataques, con un total de 102.414 incidentes registrados en el Estado español. Actualmente estos ataques son más masivos, en forma de cientos de pequeñas agresiones contra objetivos poco protegidos y que requieren la intervención del usuario. Así lo recoge el informe ‘Panorama actual de la Ciberseguridad en España’ de Google
Una de las graves consecuencias, que también expone ese documento, es que el 60% de las PYMES europeas se ven abocadas al cierre cuando sufren un ciberataque. En concreto, desaparecen a los seis meses de recibir la agresión. Así lo recoge el informe ‘Panorama actual de la Ciberseguridad en España’ de Google.
Marca y mejora
En parte, esto ocurre porque las organizaciones no están preparadas. Cuando hay una crisis se actúa de manera reactiva. El estudio The Vodafone Cyber Ready Barometer 2018 destaca que, en España, en el ámbito de la ciberseguridad, las empresas ejercen sólo “alguna acción” para asegurar su negocio. Es decir, poseen un “margen significativo de mejora” en la materia.
Y no están preparadas porque los ciberataques no se perciben como una amenaza muy real. El informe de Google señala que “pese a que los ciberataques en la actualidad son más frecuentes de lo que parece, el análisis de la industria muestra que la perspectiva defensiva aún tiene que madurar. Según el documento, “el 47 % de las alertas se ignoran” y “sólo un 36% de las pymes encuestadas tiene establecidos protocolos básicos de seguridad como la verificación de dos pasos para el correo de empresa”.
Aunque, paradójicamente, por otro lado, el análisis de Google revela que una de las preocupaciones prioritarias de las empresas son los secuestros informáticos y de datos. El informe señala que éstos afectan a miles de empresas, que han visto cómo peligraba la protección de la información de los usuarios, clientes y consumidores.
Así, el 66% de las organizaciones a nivel mundial han sido atacadas mediante “ransomware” -robo de datos a cambio de una compensación económica- solo en el primer trimestre de 2023.
Desde el punto de vista técnico, es absolutamente necesario obtener protección, garantizar la identificación y asegurar una reacción ágil en el camino hacia la digitalización de las organizaciones, tal y como recoge el periódico Cinco Días.
Desde la perspectiva de la reputación de marca, de la comunicación tanto interna como externa ocurre exactamente lo mismo. Las organizaciones deben actuar con celeridad para colmar las expectativas informativas de sus grupos de interés. Es probable que el ciberataque a una PYME no importe en absoluto a los medios de comunicación, pero sí a los clientes de la empresa, de esa organización, a los usuarios y a los conocedores de esa marca.
Ciberataque y crisis
Para Europol, citando el documento del buscador de Internet, un ciberataque es “cualquier delito que sólo se puede cometer utilizando ordenadores, redes informáticas y otras formas de tecnología de comunicación de la información (TIC)”. Por otro lado, el Manual de Tallinn, la referencia internacional en normativa jurídica que utiliza la OTAN en caso de guerra cibernética, lo define como “aquella operación cibernética, ofensiva o defensiva, de la que se espera que pueda causar pérdidas de vidas humanas, lesiones a las personas o daños y destrucción de bienes”. Habría que añadir también pérdidas económicas y así se acercaría a la definición de crisis.
Aunque los cibercrímenes son variados hay que saber actuar adecuadamente para colmar las expectativas de los grupos de interés.
Pérdida de reputación y confianza
Ante estos imprevistos, como se ha señalado anteriormente, se hace necesario contar con un buen plan de comunicación de crisis para informar a los diferentes stakeholders de cuál es la situación, cómo se aborda, qué medidas se han puesto en marcha y cómo va a afectar a los clientes y al resto de grupos de interés, inversores, si los hubiera, y medios de comunicación por si hubiera que darles alguna explicación. Es imprescindible contar con una narrativa perfectamente definida y detallada para exponer qué se hace, cómo se hace, qué se dice y cómo se dice.
Actualmente, la falta de transparencia es evidente. No se comunica porque hay miedo al qué dirán. Esto pasa porque la mayoría carece de un plan estratégico de comunicación de crisis y desconocen los beneficios que aporta exhibir control y la manera eficaz de actuar para salvaguardar y reforzar tanto la reputación, como la confianza y la cuenta de resultados.
El motivo, como expone el informe de Google, es que este tipo de incidentes afectan directamente a la reputación de la empresa y a la consecuente pérdida de confianza que trasmite a sus clientes. Es evidente que al ser víctima de un ciberataque la organización proyecta una imagen de vulnerabilidad y de baja solvencia tecnológica. Pero lo peor es no contar nada. Si no se explica qué medidas se han tomado para paliar el problema, esto provoca que los clientes rescindan sus contratos y que la empresa sume más inconvenientes hacia el fracaso.
Falta de solvencia
Además de la sangría económica que supone la fuga de contratos, se debe tener en cuenta otra variable. Pocas empresas pueden hacer frente a los costes de un ciberataque. Esto las aboca al cierre.
Según el Instituto Nacional de Ciberseguridad (INCIBE), en España en 2016 el coste medio de un ciberataque rondó los 75.000 euros, lo que supuso unos 14.000 millones de euros de pérdida para todo el tejido empresarial del país, desde las empresas más grandes hasta las más pequeñas.
El 43% de esos ciberataques va dirigido específicamente a pequeñas empresas y sus efectos son devastadores, pues un ciberataque suele costarle a una pyme unos 35.000 euros. Como se ha indicado anteriormente, esto tiene como consecuencia que el 60% de ellas desaparezca durante los seis meses siguientes, en gran medida por no poder afrontar el alto coste que implica el ciberataque y porque no se denuncia y se dan explicaciones plausibles y transparentes con un plan de comunicación de crisis.
Cibercrimen, drogas y prostitución
Desde una perspectiva global, el último informe realizado por el Centro de Estudios Estratégicos e Internacionales (CSIS) y la compañía de software especializada en seguridad McAfee cifra en 600.000 millones de dólares las pérdidas ocasionadas por los ciberataques a las empresas (grandes, medianas y pequeñas) en los últimos cinco años, exactamente el 0,8% del PIB global. Esa cifra supone 155.000 millones de dólares más que en el 2014. El cibercrimen se convierte así en uno de los negocios ilícitos globales más lucrativos junto al narcotráfico, con ganancias anuales en torno a los 320.000 millones de dólares, y la prostitución, que ronda los 110.678 millones de dólares, según la Oficina de Naciones Unidas contra la Droga y el Delito (UNODC, en sus siglas en inglés).
Controversias de alto nivel
Cuando se piensa en una crisis, desgraciadamente, se tiende a hacer a lo grande, como si fuera una suerte de espectáculo sobrecogedor. El cerebro está habituado a ese tipo de narrativa a través de los medios de comunicación y las redes.
De manera automática, los humanos en estos casos solemos circunscribirnos al marco conceptual de las explosiones, los atentados y las catástrofes naturales con multitud de heridos y fallecidos que afectan a multinacionales de gran tamaño, a corporaciones con miles de empleados y con beneficios multimillonarios u organizaciones públicas con una amplia capacidad de reacción. Es normal, son las más llamativas, las que más atención reciben de los medios y de la opinión pública, y, por ello, las más conocidas.
El dieselgate de VolksWagen o la crisis bursátil de Boeing tras los fallos del 737MAX ocuparon mucho espacio en los medios y muchos trending topics en las redes. A éstas me referí en el post Los escándalos empresariales salen caros como “controversias de alto nivel”.
Las noticias negativas tienen una importante repercusión sobre la reputación de esas empresas. De hecho, inciden directamente en una pérdida de confianza de sus accionistas y, por consecuencia, en el precio de su valor bursátil. Se comportan un 12% peor de media que el índice general global bursátil MSCI World en los dos años siguientes a la crisis de comunicación. Si esto ocurre con las más grandes, para las pequeñas es peor.
Bajo presión
Sin embargo, se olvida una variable importante. Los imprevistos y las crisis pueden afectar a cualquier tipo de organización en cualquier momento. Todas absolutamente deben estar alerta porque están bajo presión. En este post se ha explicado detalladamente que las más pequeñas suelen ser las más vulnerables, especialmente ante los riesgos de los ciberataques.
Por ello, toda organización, pequeña, mediana y grande, debe contar con un plan de comunicación de crisis. Es decir, debe saber qué contar, cuál es la narrativa adecuada, cuándo se tiene que hacer, cómo y a través de qué canales para establecer prioridades e informar adecuadamente a los diferentes grupos de interés en una situación de emergencia. La falta de transparencia es sinónimo de pérdida de confianza y de solvencia ante los stakeholders.
Es un error pensar que “a nosotros no nos va a pasar porque somos pequeños”. Muchos pequeños, fáciles de atacar porque son vulnerables dan grandes beneficios y menos problemas que entrar en una batalla con una gran corporación perfectamente preparada en el frente técnico, legal y de la comunicación. Ante un ataque, hay que exhibir confianza en uno mismo y mostrar a los stakeholders que la situación está controlada, pero eso sólo se consigue con una buena estrategia de comunicación de crisis.
Defender la marca, reforzar la reputación y la viabilidad económica de la organización debe ser prioritario en una situación de emergencia y de crisis para evitar la desaparición de la organización.
Si quiere saber cómo hacerlo cuenta con dos vías. Una, genérica y útil, es a través del curso onlineComunicación de Crisis que imparto en la Escuela de Periodismo de El País el 17 y el 18 de octubre. En él recibirá unas pautas básicas. Aunque, si ha sufrido recientemente un ciberataque o acaba de pasar por él, puede ponerse en contacto con Montaña Comunicación (+00 34 669 482 106 // c.montana@carlesmontana.com) para analizar y diseñarle una estrategia adecuada y específica para su organización. Esa es la opción que ya han tomado más 25 organizaciones en todo el mundo.