La compañía aérea Air Europa sufrió el 10 de octubre, justo antes del largo puente del Día de la Hispanidad, un ataque informático que ha afectado a sus servidores y en el que los datos de las tarjetas de los clientes, como el número CVV para validar cualquier compra han quedado expuestos.
La aerolínea española ha recomendado a aquellos clientes que hayan adquirido un billete recientemente en su compañía que anulen sus tarjetas. Es un buen consejo, aunque todos los procesos se pueden mejorar.
Se debe actuar con la máxima rapidez para evitar una sangría monetaria que puede llegar a provocar el colapso económico de la compañía.
Comunicación de crisis
Es imprescindible disponer de protección técnica que frene este tipo de agresión, pero además es fundamental contar con un plan de comunicación de crisis. Esa estrategia permite a la empresa construir una narrativa propia y común para saber, en una situación de emergencia y de crisis, qué decir, cómo decirlo, cuándo decirlo y a quién comunicárselo.
En este artículo se detalla, en párrafos posteriores, qué hacer.
Se debe tener en cuenta que los ciberataques no afectan únicamente a las grandes compañías, inciden especialmente sobre las Pymes, así lo recoge el informe Panorama Actual de la Ciberseguridad en España, de Google.
España vulnerable
España, al igual que el resto de los Estados miembros de la UE, es un país vulnerable a los ciberataques, como expone el documento.
Las Pymes y usuarios particulares en el 2018 fueron los principales objetivos de los ciberataques, con un totalde 102.414 incidentes registrados en el Estado español. Actualmente estos ataques son más masivos, en forma de cientos de pequeñas agresiones contra objetivos poco protegidos y que requieren la intervención del usuario.
Una de las graves consecuencias, que también explica ese documento, es que el 60% de las PYMES europeas se ven abocadas al cierre cuando sufren un ciberataque. En concreto, desaparecen a los seis meses de recibir la agresión. Así lo recoge el informe ‘Panorama actual de la Ciberseguridad en España’ de Google.
Cuatro pasos
Para afrontar un ciberataque adecuadamente y reforzar la reputación de la marca el plan de comunicación de crisis debe recoger cómo mínimo estos cuatro pasos esenciales:
- Denunciar ante la policía inmediatamente.
- Ponerse en contacto con las autoridades técnicas competentes. En este caso en España el INCIBE (Instituto de Ciberseguridad) dispone de un teléfono el 017, gratuito que asesora sobre estos casos. La Agencia de Protección de Datos es otro organismo al que se debe informar. La empresa está obligada a hacerlo en un plazo máximo de 72 horas para explicar el incidente. ¿Qué ha pasado? ¿Qué se ha producido en el ataque? ¿Quién ha atacado? ¿Qué medidas ha tomado la empresa para frenado el ataque? ¿Qué tipo de información se ha robado? (todo tipo de datos personales que se pueden llegar a vender).
- Una vez se ha informado a la Agencia de Protección de Datos, ésta obliga a la empresa a ponerse en contacto con los afectados de manera inmediata. Para ello el Plan de Comunicación de Crisis de establecer y fijar los mensajes más adecuados: qué información se puede trasladar, qué información no se debe trasladar, a quién se debe informar primero. También se deben tener en cuenta los canales de comunicación con una estrategia (POEM).
- Es importante, desde la perspectiva de la comunicación interna y externa y de la reputación ponerse en contacto con todos los stakeholders para atenuar las consecuencias del ataque.
El Plan de Comunicación de crisis también debe establecer los tiempos en los que se debe llevar a cabo todo este proceso. La recomendación es que la información se traslade en paralelo tanto a autoridades como clientes para agilizar todos los pasos.
El tiempo en una situación de crisis es oro. Actuar de manera inmediata puede evitar problemas económicos importantes, bien por la pérdida de confianza de los clientes y proveedores o bien por la actuación de los atacantes.
Si quiere saber cómo configurar una estrategia de comunicación adaptada a medida a sus necesidades póngase en contacto con nosotros en info@carlesmontana.com.
Recuerde también que para conocer las líneas básicas de la comunicación de crisis puede inscribirse en el curso online de que imparto en la Escuela de Periodismo de El País el 14 y el 15 de noviembre.
