Empleados ante las fugas de datos
Todo lo que hagamos en comunicación interna se va a convertir automáticamente en comunicación externa
Nada de lo que ha ocurrido en los últimos días en relación a la propagación de WannaCry debería sorprendernos. Ataques de una dimensión incluso mayor se han producido con anterioridad. Es cierto que nuestra memoria es limitada y ya nos hemos olvidado del virus I Love You, que provocó 50 millones de infecciones en mayo del año 2000. Quizá nos ha sorprendido todo lo relacionado con la forma que este gusano ha tenido de difundirse y la polémica alrededor de la responsabilidad de la NSA o de WikiLeaks al destapar la vulnerabilidad. Sin embargo, hay un elemento en el que pocos se han detenido. Me refiero a la doble responsabilidad que los empleados en las compañías tienen como el elemento más vulnerable a la hora de encontrar una brecha de seguridad y su papel como portavoces no autorizados de las empresas.
Ha quedado claramente explicado por todos los expertos que la actividad de los trabajadores abriendo documentos infectados es la puerta de entrada del ransomware. Obviamente, las empresas van a tener que redoblar sus esfuerzos en la protección de los sistemas y en la educación de sus empleados. No olvidemos que de hecho el próximo vector de riesgo van a ser sus extensiones móviles (smartphones y tabletas). A través de ellos vendrán los futuros ataques.
Pero llegados a este punto, y con decenas o centenares de equipos infectados, las compañías (y hemos visto decenas de ejemplos estos días atrás) van a tener que dar claras instrucciones de actuación a sus trabajadores sobre cómo proceder. Es en ese momento cuando debemos ser conscientes de que todo lo que hagamos en comunicación interna se va a convertir automáticamente en comunicación externa ¿O es que de verdad pensamos que nuestros trabajadores no le van a contar a sus amigos y familiares por WhatsApp que les acaban de hackear el terminal, o que por megafonía alguien les ha dicho que apaguen urgentemente su equipo?
¿Cómo reaccionar?
Y ante este escenario, que ya hemos vivido, ¿cómo deben reaccionar las compañías desde su comunicación? Evidentemente no parece muy rentable, si te han atacado, empeñarte en negar que lo hayan hecho. Es cuestión de minutos que tus propios trabajadores filtren las pruebas del ataque. Decir lo contrario es sencillamente absurdo y compromete tu reputación. Telefónica hizo un ejercicio de coherencia y liderazgo comunicativo reconociendo desde el inicio que había sido víctima de WannaCry. Y, de hecho, su reputación ha salido fortalecida tras el envite gracias al ejercicio de transparencia realizado.
Visto lo visto, quizás el resto de compañías deberían ir tomando buena nota, y más aún con la vista puesta en el cambio normativo que supone el nuevo Reglamento Europeo de Protección de Datos. La normativa contempla que aquellas compañías que puedan ver comprometidos los datos de sus clientes tendrán que comunicar al CERT, y si no tienen estimación del número de clientes afectados, informar a todos los clientes. Sí, a todos. Es decir, encima de que me secuestran los datos, tengo que contarlo a los clientes. Ya se puede imaginar el lector que cinco minutos después estará en las redes sociales, eso si algún empleado no lo ha compartido ya, o algún cliente no ha percibido algo raro y lo ha subido también a Twitter o Facebook.
Queramos o no queramos, la configuración del relato informativo en esta sociedad de la hipertransparencia ha cambiado. Cuando la crisis llega, ya no disponemos de horas o incluso días para intentar neutralizarla. Ni siquiera van a ser los portavoces oficiales los que lideren el proceso informativo. Todos los stakeholders que rodean a la compañía se han vuelto un medio de comunicación en potencia. Y de entre ellos, los empleados serán sin duda el primer objetivo a identificar por parte de los medios. Y si esto es así, si vamos a vivir el real time de la crisis con nuestros empleados como portavoces, ¿a qué estamos esperando para trabajar con ellos la comunicación y convertirlos en verdaderos embajadores de marca?
Esto ya no va de ocultar la realidad. Va de refundar en valores las compañías y lograr que los mejores prescriptores posibles, tus empleados, se conviertan en los mejores portavoces de la empresa en caso de crisis.
Luis Serrano es director del área de crisis de Llorente & Cuenca.
