jueves, 28 de abril de 2011

Incidentes de seguridad y su gestión mediática.

Tal como podía imaginar, la llegada al mundo de mis dos hijos ha limitado y reducido a la mínima expresión el tiempo libre que puedo dedicar a mi "yo online" siendo este blog y twitter sus máximos exponentes. Comentado esto a modo de disculpa por la latencia entre post de estas últimas semanas, vamos al grano con la reflexión de hoy.

Esta semana los medios de comunicación se han hecho eco de noticias suculentas sobre incidentes y accidentes de seguridad que han afectado a Sony (El caso del supuesto hacking a la base de datos de la Playstation) o Apple (la polémica con el almacenamiento de datos de geoposicionamiento).

En ambos casos, lo que me sorprende es esa errática estrategia del avestruz que trata de esconder la cabeza hasta que es tan notoria la noticia y de tal cobertura que parece les obliga a salir a informar de los hechos acontecidos. Digo que me sorprende por el siguiente motivo: cuando se habla de "continuidad de negocio" y el análisis de impacto, uno de los criterios de valoración de daños suele ser precisamente el deterioro en imagen o daño reputacional.  Muchas veces es peor lo que se comenta sobre un incidente que los propios hechos acontecidos. Tenemos aquí el celebre caso de Mr Bean en el portal de la presidencia española como un claro ejemplo que ya comenté en su momento.



Sin embargo, la lentitud en salir a comunicar o al menos, a informar sobre la información que en esos momentos se encuentre circulando creo particularmente que agrava el problema y más en los tiempos que corren donde la velocidad de transmisión de noticias a través de foros, redes sociales y Webs obligan a trabajar casi en tiempo real.

Y lo empeora porque el silencio parece a veces (o casi siempre) que trata de evitar o encubrir el reconocimiento de un fallo de seguridad o un error de programación. Esa manía por no ver un tropiezo como una oportunidad de mejora o un aprender de los errores hace que la opinión pública entienda como más responsable o negligente a la empresa u organización afectada.

La transparencia en estos casos creo que es la mejor solución. Y si hay errores, el reconocimiento y la petición de disculpas una estrategia que puede aliviar o limitar el grado de enfado de los clientes o potenciales clientes que puedan verse afectados por el incidente.

¿Qué tiene esto que ver con la gestión de la seguridad o la continuidad de negocio?

La continuidad de negocio tiene por objetivo garantizar el funcionamiento normal de la empresa cuando se sufre un incidente. Sin embargo, creo que es una herramienta útil también para este tipo de casos donde hay un "impacto reputacional" que aun no afectando a la operación de los sistemas, si debe al menos, desencadenar una "Gestión de la crisis" previa a la decisión de activar el plan de continuidad. Cuando una organización ha sufrido un incidente, de repente tiene activos diferentes frentes de trabajo donde debe tratar de volver a la normalidad. Las áreas suelen ser la logística si hay daños en instalaciones, los servicios TI si el incidente afecta a los sistemas de información, la gestión del personal si este debe modificar sus rutinas diarias y la gestión mediática.

Es precisamente este aspecto el más relevante porque como he dicho ya antes, a veces es mayor el ruido que las nueces. La contención mediática debe procurar informar rápido, ser origen de la información para evitar especulaciones o rumores e ir aclarando los hechos con la máxima transparencia que sea posible, a fin de demostrar al menos una diligencia en la comunicación del incidente. Por tanto, el equipo de comunicación de una gran empresa como las que se han visto afectadas deben saltar a las primeras de cambio y proporcionar información aún cuando todavía se desconozcan los detalles de lo acontecido para demostrar que no se esconden y que darán las explicaciones que sean oportunas conforme se vayan esclareciendo los hechos. Las áreas de comunicación y las áreas afectadas por el incidente que suelen ser TI deben colaborar y trabajan conjuntamente para suministrar casi en tiempo real todos aquellos aspectos o datos que vayan siendo conocidos de forma que se vayan tranquilizando las versiones o rumores sobre los hechos. No hay mejor medida de seguridad frente a rumores que ser fuente de la información. Pero eso es ya "Gestión del riesgo reputacional" y pertenece a otras áreas de conocimiento menos tecnológicas.


También como apunta de forma certera y ácida Sir Chema Alonso esta semana, depende de quién seas, ciertos incidentes o problemas se disculpan. El público es más bondadoso con las empresas "cool" o "guays" y despiadado con las empresas que vienen del lado del mal. Diferente rasero para idénticos incidentes... pero supongo que detrás de eso también están los equipos de comunicación de esas empresas que usarán esa estrategia a modo de "airbag". Venden una imagen que aguanta más impactos reputacionales porque los clientes le atribuyen otras bondades que contrarrestan los daños sufridos. Como siempre, Dilbert dispone de una viñeta apropiada al respecto.



Lo que está claro es que la "reputación" es también un activo de la empresa a proteger porque detrás de él se refugia la confianza de nuestros clientes. Y como dice el proverbio, "La confianza viene en tortuga y se va en el galope de un caballo".
 
;