Los ávidos lectores del blog Malwarebytes Labs sabrían que nos esforzamos por preparar empresas de todos los tamaños para la inevitabilidad de los ataques cibernéticos. Desde la capacitación efectiva de empleados sobre higiene básica en seguridad cibernética hasta orientar a las organizaciones en la formulación de un programa de respuesta a incidentes (IR) , una política de seguridad cibernética e introducir una cultura de seguridad intencional , nuestro objetivo es promover la prevención proactiva.

Sin embargo, hay ocasiones en que las organizaciones necesitan ser reactivas. Y uno de ellos es la gestión de la reputación empresarial (BRM, por sus siglas en inglés), una palabra de moda que se refiere a la práctica de garantizar que las organizaciones siempre estén dando lo mejor de sí, en línea y fuera de línea, mediante el monitoreo constante y el tratamiento de la información y las comunicaciones que dan forma a la percepción pública. Este es un proceso que los ejecutivos no deben perderse, especialmente cuando la compañía se encuentra en el centro de una tormenta mediática después de revelar un incidente de ciberseguridad que potencialmente ha afectado a millones de sus clientes.

En esta publicación, analizamos por qué las empresas de todos los tamaños deberían tener un sistema de este tipo al tener un repaso sobre qué forma una reputación y cuánto ha evolucionado la confianza y lealtad del consumidor. También le mostraremos cómo se vería el BRM proactivo y reactivo antes, durante y después de una lluvia cibernética.

La reputación, como la belleza, está en el ojo del espectador.

La reputación de una empresa (cómo los clientes, los inversores, los empleados, los proveedores y los socios la perciben) es su activo más valioso e intangible. Gideon Spanier, Director Global de Medios de Campaign, ha dicho en su artículo de Raconteur que se basa en tres cosas: lo que dices, lo que haces y lo que otros dicen de ti cuando no estás en la sala. Debido al mundo altamente digitalizado y en red en el que vivimos, las paredes de esta sala se han vuelto imaginarias, y ahora todos escuchan lo que tienes que decir.

Buscar organizaciones y marcas en línea se ha convertido en parte del proceso de toma de decisiones de un consumidor, por lo que tener una presencia en línea fuerte y positiva es más importante que nunca. Pero para ver que solo el 15 por ciento de los ejecutivos están abordando la necesidad de administrar la reputación de su empresa, claramente hay trabajo por hacer.

La confianza y lealtad del consumidor evolucionaron.

La confianza de la marca ha crecido. Antes, nos basábamos en el boca a boca, tanto las recomendaciones como las condenas, de amigos y familiares, la positividad o la negatividad de nuestras propias experiencias y las de otros sobre un producto o servicio, y el respaldo de alguien a quien admiramos (como las celebridades y los atletas ). Hoy en día, muchos de nosotros tendemos a creer lo que dicen los extrañossobre una marca, un producto o un servicio; lea las noticias sobre lo que está pasando con las instituciones; y siga la charla de las redes sociales sobre ellos.

La relación entre la confianza del consumidor y la reputación de la marca también ha cambiado. Si bien los nombres generales siguen siendo preferidos sobre marcas nuevas o desconocidas (incluso si ofrecen un producto o servicio similar a un costo más barato), los consumidores conectados han aprendido el valor de sus datos. No solo quieren que se satisfagan sus necesidades, sino que también esperan que las empresas se ocupen de ellas y, por extensión, de la información que escogen, para que puedan sentirse seguros y felices.

Por supuesto, con la confianza viene la lealtad. Weber Shandwick, una firma de relaciones públicas global, ha recordado a los líderes de negocios en su informe, La compañía detrás de la marca: Reputación en la que confiamos [PDF], encontró que los consumidores en el Reino Unido tienden a asociarse con un producto, y si la compañía que produce ese producto no cumple con lo que se espera de ellos, se retiran en busca de uno mejor, que generalmente ofrece una marca de la competencia. No es difícil imaginar esta misma reacción de los consumidores en los Estados Unidos en el contexto de datos de clientes robados debido a una violación de datos en toda la empresa.

Gestión de la reputación empresarial en acción.

La posibilidad de encontrar su negocio en la mira de los actores de amenazas ya no es solo una posibilidad, sino algo para lo que los ejecutivos siempre deben estar preparados. La buena noticia es que no es imposible proteger su reputación comercial de los riesgos.

En esta sección, describimos lo que las empresas pueden hacer en tres fases: antes, durante y después de un ataque, mediante una ilustración basada en un escenario del mundo real para dar a las organizaciones una idea de cómo pueden formular un plan de juego para administrar su reputación ahora. o en el futuro. Tenga en cuenta que hemos alineado nuestros indicadores en el contexto de los incidentes de ciberseguridad y privacidad.

Antes de un ataque: prepárate para una brecha

• Identifique y asegure los datos más confidenciales de su empresa. Esto incluye la propiedad intelectual (IP) y la información de identificación personal (PII) de sus clientes .
• Copia de seguridad de sus datos. Tenemos una guía práctica para eso.
• Parche todo. Puede tomar un tiempo y puede causar alguna interrupción, pero valdrá la pena.
• Educar a los empleados sobre medidas básicas de seguridad de datos, tácticas de ingeniería social y cómo identificar las señales de alerta de una posible violación.
• Armar un equipo de socorristas. Es decir, si la empresa ha decidido manejar los incidentes de forma interna. Si este es el caso:
  • Proporcionarles las herramientas que necesitarán para el trabajo.
  • Capacítelos sobre cómo usar estas herramientas y sobre los procesos establecidos para la recolección y el almacenamiento adecuados de la evidencia.
• Crear un plan de respuesta de violación de datos. Este es un conjunto de acciones que realiza una organización para abordar de manera rápida y efectiva un incidente de seguridad o privacidad. Lamentablemente, de acuerdo con la Encuesta Mundial de Delitos Económicos y Fraude de 2018 de PwC , solo el 30 por ciento de las empresas tienen este plan en marcha.
  • Una vez creados, asegúrese de que todas las partes interesadas internas (sus empleados, ejecutivos, unidades de negocios, inversores y contactos B2B) estén informadas sobre este plan, para que sepan qué hacer y qué esperar.
• Conozca las leyes de notificación de violaciones de seguridad en el estado en el que se basa su empresa. Asegúrese de que su empresa cumpla con la legislación.
• Establecer un proceso de alerta y seguimiento. Esto incluye mantener un canal de comunicación que sea accesible 24/7. En caso de un ataque, las partes interesadas internas deben ser informadas primero.
• En una nota similar, crear un proceso de notificación. Involucre a los departamentos clave relevantes, como marketing y asuntos legales, para que sepan qué decirles a los clientes (si la violación implica un robo de PII), a los reguladores y a las fuerzas del orden público, y cómo notificarlos mejor.
• Dependiendo de la naturaleza de su empresa y de los activos potenciales que puedan verse afectados por un incumplimiento, prepare una lista de los posibles servicios especiales que su empresa puede ofrecer a los clientes que puedan verse afectados. Por ejemplo, si su empresa almacena información de tarjetas de crédito, puede proporcionar protección de identidad a los clientes con un número de contacto al que pueden llamar para hacer uso del servicio. Esto fue lo que hizo Home Depot cuando se rompió en 2014.

Leer: Cómo navegar por Internet de forma segura en el trabajo.

Durante un ataque: sé estratégico.

• Mantenga a las partes interesadas internas actualizadas sobre los desarrollos y los pasos que su empresa ha tomado para mitigar y remediar la gravedad de la situación. Mantenga las líneas telefónicas abiertas, pero sería más eficiente enviar actualizaciones periódicas por correo electrónico. Cree una línea de tiempo de eventos a medida que avanza.
• Identifique y documente la siguiente información y evidencia lo más que pueda, ya que éstas son necesarias cuando llegue el momento de notificar a los clientes y al público sobre la violación:
  • Sistemas comprometidos, activos y redes
  • Paciente cero, o como ocurrió la brecha.
  • Información en las máquinas afectadas que ha sido divulgada, tomada, eliminada o dañada.
• Si su compañía tiene un blog o una página donde puede publicar noticias de la compañía, redacte una cuenta de los eventos de principio a fin y lo que continuará planeando hacer en las próximas semanas después de la violación. Se transparente y eficaz. Esta es una buena oportunidad para mostrar a los clientes que la compañía no solo está hablando, sino que también está caminando. El Director de Marketing (CMO) debe tomar la iniciativa en esto.

Después de un ataque: ser excelente para sus partes interesadas

• Notifique a sus clientes y otras entidades que puedan haber sido afectadas por el incumplimiento.
  • Publique las noticias de la compañía o la publicación en el blog que la compañía ha redactado sobre el incidente de ciberseguridad.
  • Envíe notificaciones de incumplimiento por correo electrónico, enlace al blog y redes sociales.
• Prepárese para recibir preguntas de los clientes y de cualquier persona que esté interesada en aprender más sobre lo que sucedió. Espera tener conversaciones incómodas.
• Ofrezca servicios adicionales a sus clientes, que ya ha pensado y preparado en la primera fase de este ejercicio BRM.
• Continúe aceptando y abordando las inquietudes y preguntas de los clientes durante períodos prolongados durante un cierto período de tiempo.
• Implemente nuevos procesos y utilice nuevos productos basados ​​en discusiones posteriores al incidente para minimizar aún más las futuras violaciones de los sucesos.
• Rejuvenezca la confianza de las partes interesadas y céntrese en las estrategias de preparación, contención y mitigación de violaciones, como prueba del compromiso de la empresa con sus clientes. Esto puede convertir el estigma de las violaciones de datos en su cabeza. Recuerde que una infracción puede suceder a cualquier empresa de cualquier industria. Lo que se recordará es cómo actuó la compañía antes, durante y después del incidente. Así que usa eso para tu ventaja.
• Audite la información que su empresa recopila y almacena para ver si tiene datos que no son necesariamente necesarios para cumplir con sus obligaciones de productos y servicios para con los clientes. La lógica detrás de esto es que se guardan menos datos sobre los clientes; Los menos datos están en riesgo. Asegúrese de que todas sus partes interesadas, especialmente sus clientes, conozcan qué datos no recopilarán ni almacenarán más.
  • Tras una violación en diciembre de 2015, Wetherspoon eliminó toda su base de datos de direcciones de correo electrónico de los clientes , que era su forma de minimizar la cantidad de datos que almacenaban sobre sus clientes.
• Reconoce el arduo trabajo de tus empleados y recompénsalos por ello. Sí, también son sus partes interesadas, y no deben ser olvidadas, especialmente después de un incidente de ciberseguridad.

La gestión de la reputación empresarial es el nuevo negro.

De hecho, las empresas siguen siendo el blanco favorito de los actores de amenazas y los estados nacionales de hoy. Es la nueva normalidad en este punto, algo que muchas organizaciones todavía están optando por negar.

Saber cómo administrar la reputación de su empresa se considera una ventaja competitiva. Claro, una cosa es saber cómo recuperarse de un incidente de ciberseguridad . Pero otra cosa es saber qué hacer para mantener la imagen de la marca intacta en medio de la atención negativa y qué decir a los afectados por el ataque, a sus partes interesadas, y al público en general.