La peor crisis de seguridad cibernética de la Empresa es ¡no estar preparado para ella!
No es un asunto de crisis de seguridad cibernética. Perder un billón de dólares, una brecha de seguridad informática que deja millones de registros de clientes en situación de riesgo o un grave accidente de avión con el director general de la Junta Directiva. Las organizaciones pueden tomar medidas para evadir estas tormentas, pero en vez de apuntar solamente por la supervivencia, las organizaciones deben de aprovechar la oportunidad para emerger más fuerte.
Gestión de crisis
El manejo de crisis puede cubrir un gran rango de eventos, desde desastres naturales, el robo de identidades a gran escala y el retiro de un producto, pero, ¿qué hay en común en estos eventos?
No todas las crisis son creadas por igual. Desde un accidente que interrumpe una cadena de suministros, hasta acciones incendiarias en medios sociales, las empresas administran crisis menores todo el tiempo. Es parte de hacer negocios. Pero cuando se trata de una crisis mayor el asunto es diferente. Un solo mega evento o la combinación de ellos pueden desencadenar crisis que amenazan la supervivencia del negocio dando como resultado deficiencias sistemáticas que atentan contra la confianza y la reputación. Estas clases de crisis ponen al descubierto la disponibilidad y la capacidad de respuesta de una organización. Ponen a prueba de una empresa sus valores, el liderazgo y el carácter en un momento en que no hay lugar para el error.
La gestión de crisis inicia con los elementos de identificación y preparación de los riesgos estratégicos que pueden convertirse en eventos de crisis e incluye un amplio portafolio de capacidades tales como monitoreo de eventos, simulación de crisis, planificación, respuesta en tiempo real y comunicaciones de crisis.
Simulación de una crisis
La simulación de una crisis provee a las organizaciones una manera de evaluar si se encuentran preparados para una crisis y conocer si la organización, estrategias, planes y sistemas funcionaran cuando ocurra una crisis. La capacidad de monitoreo en 24/7 también es necesario para rastrear todas las fuentes de datos relevantes de potenciales interrupciones del negocio. Esta misma capacidad también aplica para la monitorización de la situación durante la crisis.
En caso de que ocurra una crisis, un elemento importante es la capacidad de proporcionar respuesta en tiempo real, por lo cual las organizaciones necesitan equipos de respuesta rápida operando bajo la dirección de una Oficina de Administración de Crisis. Estos equipos deben estar conformados por lideres experimentados que representen las competencias básicas, la industria y expertis específico en crisis.
Comunicaciones de las crisis
El último elemento es las comunicaciones de las crisis. Profesionales en comunicación a menudo fallan al entregar las ideas del negocio y la perspicacia financiera necesaria para proteger los valores de los accionistas. Es muy importante recordar que la comunicación de la crisis es la dirección de múltiples accionistas o partes interesadas del negocio.
¿Qué debe aprender una organización para estar mejor preparada en el manejo de eventos inesperados?
Existen varias lecciones principales en las que los ejecutivos deben de enfocarse.
En primer lugar, es importante pensar y prepararse para una crisis de seguridad cibernética antes de que usted experimente una, nadie sabe cuándo será la próxima gran crisis que le golpeará. Al menos para empezar, la atención debe centrarse en la preparación, el seguimiento y los ensayos. Son las formas más eficaces para prepararse para un evento de crisis. Las empresas que pueden planificar y ensayar posibles escenarios de crisis estarán mejor posicionada para responder con eficacia cuando una crisis golpea realmente.
En segundo lugar, cada decisión tomada durante una gran crisis puede afectar el valor de los accionistas y las partes interesadas, en la medida en que los riesgos de reputación puedan destruir valor más rápidamente que los riesgos operacionales.
En tercer lugar, los tiempos de respuesta ante una crisis de seguridad cibernética deben ser minutos, no horas o días. Los equipos sobre el terreno necesitan para tomar el control, conducir con flexibilidad, tomar decisiones con información menos que perfecta, comunicarse bien internamente y externamente, e inspirar confianza en los demás.
Desde el punto de vista posterior a la crisis de seguridad cibernética, es importante tener en cuenta que una organización puede salir fortalecida de un gran evento de crisis.
Casi toda crisis genera oportunidades a las empresas de recuperarse, pero para aprovecharse de ellas la organización tiene que ir en la búsqueda de estas oportunidades. También hay situaciones en la que una organización cree que la crisis de seguridad cibernética ha terminado, pero en realidad no lo es.
Hay una serie de factores en juego aquí; la forma en que los datos se capturaron y manejaron, los mecanismos para el registro de decisiones y como las finanzas, reclamos de seguros y los requisitos legales son gestionados y como la organización se mueve de nuevo a un estado más normal, son todos los factores que pueden determinar cuánto tiempo va a tomar en última instancia, el período de recuperación completo.