De entre los muchos ciberataques que se han producido en la última década, al menos hay uno que se ha hecho famoso por su fracaso al intentar hundir una compañía. En la mañana del 16 de enero de 2012, millones de personas se despertaron con la peor pesadilla de cualquier comprador online: Zappos, la compañía de retail líder en ventas de zapatos y accesorios, había sido víctima de un ciberataque y del robo de información de casi 24 millones de cuentas de consumidores. Los medios de comunicación, las webs financieras y los blogs especializado en ciberseguridad publicaron grandes titulares sobre la crisis de Zappos, que apenas tres años antes había sido adquirida por Amazon por 1.200 millones de dólares.
Zappos anunció inmediatamente una serie de medidas para minimizar los efectos de la crisis. Sin embargo, el factor más determinante para sobrevivir al ataque no había que ponerlo en marcha, ya existía. La empresa contaba con medidas preventivas, mucho antes de que el ataque se descubriera. Por ejemplo, había almacenado las contraseñas y la información de las tarjetas de crédito de sus clientes en otro servidor, separándola del resto de información, por lo que esta no llegó a correr peligro alguno. Además, Zappos cifró las contraseñas de sus consumidores con hashtags. De tal forma que si los hackers hubieran conseguido acceder al servidor correcto, sólo hubieran visto “##########” en lugar de las contraseñas reales.
En aquel momento, estas medidas se convirtieron en las prácticas de referencia a la hora de proteger la información de los clientes. Pero, sobre todo, se hicieron famosas por algo que apenas tenía que ver con la tecnología: formaban parte de un plan más amplio para gestionar crisis.
El enfoque de Zappos y otras respuestas similares de distintas empresas –incluidas las afectadas por el ataque WannaCry- demuestran un principio básico. Las capacidades de una compañía para gestionar una crisis se desarrollan mucho antes de que esta se produzca. Estas capacidades deben ser lo suficientemente amplias como para atajar cualquier tipo de situación: un problema operativo, un ciberataque, un atentado terrorista, un accidente, un desastre natural, un crimen, una disputa laboral, una crisis económica, el fracaso de un producto, un caso de acoso sexual o un escándalo ético. Y, al mismo tiempo, lo suficientemente concretas como para cuadrar en la cultura corporativa de la empresa, en su estrategia y sus prácticas. Idealmente, esta preparación no debería servir solo para saber afrontar una crisis, sino también para evitar su gestación dentro la propia empresa. Pero uno no se prepara de un día para otro, necesitas incorporar la gestión de crisis a su estilo de vida.
Las crisis son inevitables
Hoy en día, las posibilidades de que tu negocio sea víctima de una amenaza o un acontecimiento inesperado son muy altas. En una encuesta realizada por PwC entre 164 CEOs de todo el mundo, el 65% reconocía haber sufrido, al menos, una crisis desde el año 2013 y un 15% decía haber tenido cinco o más. El 40% estimaba que tendría una situación de crisis en los próximos tres años y el 33% apuntaba que tendría una o más más. Según la XIX Encuesta Mundial de CEOs de PwC, una amplia mayoría de los máximos ejecutivos aseguran que se enfrentan, ahora, a más amenazas que hace tres años.
Y tienen motivos para estar preocupados. En 2015, los ciberataques costaron a las empresas 375.000 millones de dólares, mientras que en 2013 la cifra fue de 3.000 millones. Las pérdidas económicas por catástrofes naturales en los últimos diez años ronda los 194.000 millones de dólares. Esto sin contar los costes por fraudes, corrupciones, enfermedades, disputas laborales y otros muchos retos a los que se enfrentan las compañías hoy en día. Episodios de esta clase no afectan solo a unas pocas manzanas podridas, sino a todas las organizaciones, incluyendo aquellas con buena reputación, con consumidores fieles y trayectorias impecables.
Para que una empresa pueda responder en caso de crisis hay que considerar tres dimensiones críticas: las personas, la preparación y las pruebas
La falta de preparación en una crisis –independientemente de que esta haya sido provocada por causas internas o externas- siempre empeora las cosas. Según un estudio de la firma Freshfields Bruckhaus Deringer, solo una de cada diez empresas está preparada para una crisis; una de cada cinco ha hecho una simulación; cuatro de cada diez no tiene ningún tipo de plan; y el 53% de las compañías que sufrió una no llegó a recuperar el valor que tenían sus acciones antes del desaguisado.
Para construir estas capacidades de respuesta dentro de la compañía hay que considerar tres dimensiones críticas: las personas -relaciones y estructuras de gobierno-, la preparación -planificación y ejecución- y las pruebas -testar tus acciones por adelantado-:
-
Personas: estructuras de gobierno y relaciones
Incluso después de una catástrofe o de un escándalo, cualquier empresa puede recuperar su reputación y llegar a fortalecerse. Pero todo depende de cómo sean las relaciones, tanto dentro de la empresa -empezando por el CEO-, como con reguladores y agentes externos. La conexión humana es capital para prepararse ante una crisis. Las personas necesitan saber qué hacer, en quién confiar y ante quién deben responder.
Para establecer una red de relaciones valiosa, hay que revisar las conexiones formales e informales dentro de la empresa. Las formales agrupan las relaciones piramidales y las que se mantienen con aquellas personas sobre las que recae alguna responsabilidad. Decir exactamente qué se espera de ellos en una situación de crisis y, en el caso de que también están implicados proveedores externos, definir cuestiones más formales -como documentos firmados que dejen claro quién es responsable de que sigan funcionando, por ejemplo, los sistemas de IT-, son medidas útiles.
Estas relaciones se complementan con otras más informales, que se construyen trabajando en proyectos comunes, como –pero no solo- la gestión de crisis.
Además, trabajar las relaciones con aquellos grupos o actores que podrían considerarse con adversarios o enemigos –grupos de interés locales, blogueros e influencers, inversores activitas, etcétera- en una crisis es crucial.
-
Preparación: planificar y ejecutar
Generalmente, las empresas que están preparadas suelen salir de las crisis sin un rasguño. Se cree que el WannaCry, el mayor ataque de ransomware de la historia, fue posible porque una filtración de las herramientas de hacking de la Agencia de Seguridad Nacional (NSA) de Estados Unidos hizo pública la vulnerabilidad de un software. En marzo, Microsoft distribuyó un parche de software, que algunas compañías incorporaron capeando el temporal. Estas empresas pudieron hacerlo tan rápido porque estaban preparadas –no solo para este evento en concreto, sino para cualquier cambio que pudiera afectar sus sistemas operativos-.
Sin embargo, las empresas que no lo están se encuentran con grandes dificultades. Incluso si asumen la responsabilidad en una crisis –anunciado, por ejemplo, una revisión independiente de la situación por un externo- siempre habrá un periodo de tiempo donde la especulación y las dudas sean los protagonistas. Por ejemplo, si se trata de un problema con un producto, las compañías que lo distribuyan se sentirán presionadas para retirarlo temporalmente, lo que no hará sino levantar más suspicacias. Puede que al final el producto no tenga ningún problema, pero este solo episodio habrá generado pérdidas y dañado de manera innecesaria tu reputación corporativa y tu red de distribución.
-
Haz pruebas, ensaya
El siguiente paso del plan es llevar a cabo una serie de simulaciones para asegurar que los mecanismos funcionan. Cada vez más empresas utilizan videojuegos y simulaciones informáticas -videoclips, publicaciones en redes sociales “falsas”- que imitan una crisis real. (PwC ha desarrollado un programa permite a los directivos pasar por simulaciones de crisis y ser consciente de la repercusión de sus decisiones en este tipo de entornos). Estas simulaciones también hacerse a medida, imitando una crisis en concreto, ya sea un desastre natural o un ataque terrorista.
En definitiva, la ley de Murphy no es un mito: si algo pero puede ocurrir, ocurrirá. Por eso, uno tiene que estar preparado desde ya. Puede que te lleve de seis a doce meses evaluar el nivel de preparación de tu empresa, construir las relaciones y estructuras de gobierno adecuadas, y diseñar y ensayar el plan. Pero trabajar en esto te serán mucho más útil que esperar a que llegue una crisis para hacerlo.