Por Russell Roering
Las horas, los días, las semanas e incluso los meses posteriores a que su empresa haya sufrido una fuga de datos pueden parecer los momentos más oscuros de la empresa.
Las marcas más confiables han experimentado la pérdida de confianza de los clientes, daño en la moral de los empleados y preocupación de los accionistas. Una encuesta reciente de Experian y Ponemon Institute descubrió que el 54% de las empresas cree que puede demorar de diez meses a más de dos años restaurar la reputación de una empresa después de una fuga de datos.
La diferencia en el tiempo de recuperación no tiene que ver solamente con el tamaño y el tamaño de la fuga, sino que también depende de cómo responde la empresa ante la crisis. Tres factores importantes son esenciales para ayudar a las empresas a recuperarse rápidamente: restaurar la marca, administrar constructivamente las responsabilidades y evitar la migración de los clientes.
Recuperar la reputación de la empresa
En un mundo perfecto, las empresas tendrían un plan establecido para tratar con una fuga mucho antes de que suceda. Sin embargo, según Mike Bruemmer, vicepresidente de Experian® Data Breach Resolution en Experian Consumer Services, alrededor del 30% de las empresas aún no cuenta con un plan.
Tener un plan probado y una estrategia de delegación establecidos por adelantado facilita en gran medida el proceso. Una vez expuesta una fuga, una empresa debe activar el plan de inmediato y dejar el manual de estrategias de recuperación en manos de profesionales experimentados.
Las empresas también deben contratar los servicios de investigadores forenses, expertos en relaciones públicas, servicios de supervisión de crédito/identidades, y servicios de resolución de fugas como parte de este proceso de recopilación de información.
El enfoque debería ser “recopilar los hechos y tomar las decisiones correctas con respecto a quién debe ser notificado sobre la posible exposición de su información”, agregó Bob Wice, el jefe de grupos de análisis de los E.E. U.U. para servicios de tecnología, medios de comunicación y empresas en la aseguradora especialista Beazley.
Anunciar la responsabilidad y el grupo de altos ejecutivos
El experto legal, Aravind Swaminathan, que es socio del estudio jurídico DLA Piper en los grupos de servicios jurídicos de Privacidad y Seguridad y de Litigios, recomienda que, una vez que se complete la fase de detección y recopilación de información, las empresas deben notificar públicamente la situación con un solo anuncio en lugar de realizar una serie de anuncios con información fragmentada.
Varios anuncios pueden llevar a creer “que la fuga no está bajo control o que la empresa no conoce sus propios sistemas”, dijo Swaminathan.
Bruemmer, Wice y Swaminathan están de acuerdo en que, a menos que un director general haya sido anteriormente el representante en cuestiones de crisis de la empresa, es mejor que el anuncio lo maneje un miembro preseleccionado del grupo de altos ejecutivos, como el director de riesgos, el director de la información o el director de tecnología. Bruemmer dice que esto también garantiza la precisión técnica del informe.
Ante todo, el anuncio debería contener lo siguiente:
- Una disculpa completa y aceptación de responsabilidad por la fuga.
- Una descripción completa y transparente de la naturaleza de la fuga, qué resultó afectado y cómo pueden protegerse los consumidores.
- Información sobre la supervisión del crédito o un servicio de supervisión/identificación del crédito para que los consumidores estén atentos a cambios inusuales.
Enfocarse en quién tiene la culpa es mucho menos importante que presentar a los clientes un mensaje consistente y cohesivo, y un frente unificado.
Otra práctica recomendada es establecer un grupo especializado que se enfoque en la fuga, mientras que el resto de los empleados mantiene el nivel más alto de servicio para los clientes existentes.
Evitar la migración de los clientes
A medida que la fuga va quedando en el pasado, la empresa debe continuar combatiendo la deserción de los clientes como consecuencia.
“Cualquier fuga de información del cliente causa una brecha en la confianza. Y las empresas necesitan garantizar que sus clientes comprendan que se toman la fuga con seriedad, independientemente de qué información se vio afectada. Para las empresas desarrolladas sobre el principio de confianza... o que están conectadas más estrechamente con sus clientes..., existe un riesgo real de perder una cantidad importante de clientes”, comentó Swaminathan.
Evitar la pérdida de clientes por la competencia después de una fuga es una tarea muy real. Wice citó un estudio reciente de Economist Intelligence Unit que descubrió que más de un tercio de los clientes en empresas que sufrieron una fuga de datos ya no realizaba transacciones comerciales con las empresas en cuestión “debido a la fuga”.
A medida que las empresas se vuelvan más inteligentes en la prevención y el manejo de fugas, los clientes comenzarán a temer menos y a confiar más en lugar de que desaparezcan completamente los minoristas de confianza.
Visite Symantec Connect para obtener más información sobre la administración de una fuga grave.
Russell Roering es escritor y experto en relaciones públicas radicado en Chicago.