Las violaciones de datos se han convertido en un desafortunado hecho de la vida. Pero el hecho de que las violaciones de datos ocurran todos los días no significa que el incidente de su propia empresa no sea una gran noticia que deba manejarse con mucho cuidado. Durante la respuesta a un incidente cibernético, un paso en falso de relaciones públicas puede multiplicar el daño de manera significativa.
Aquí hay un vistazo a algunos malos comportamientos que querrás evitar:
NO se limite a hacer lo mínimo.
Algunas empresas intentan mantener una filtración de datos relativamente tranquila siguiendo solo los requisitos legales mínimos y esperando que pase. En realidad, es mucho más probable que explote que que explote.
“A menudo, las notificaciones de incumplimiento solo se realizan como resultado de los requisitos obligatorios de informes legales y estos requisitos pueden variar ampliamente según la jurisdicción”, dice Ryan R. Johnson, abogado de privacidad de datos y director de privacidad de Savvas.
Johnson dice que las leyes de notificación de violación de datos de algunos estados de EE. UU. establecen parámetros de informes muy limitados, como la notificación obligatoria que se activa cuando partes no autorizadas acceden a tipos específicos de datos personales. En comparación, otros estados otorgan a las organizaciones una amplia libertad en un “enfoque de riesgo de daño”, que permite a la organización violada decidir si es necesario notificar a los clientes.
“En pocas palabras, depende de una empresa determinar si los clientes se verán afectados negativamente por los datos comprometidos en una violación”, dice Johnson.
Y no lo olvide: algunas filtraciones de datos no incluyen información personal en absoluto. Las violaciones de la propiedad intelectual, por ejemplo, podrían afectar cadenas de suministro enteras.
NO minimice el daño potencial.
Es raro saber el alcance total del daño durante o inmediatamente después de una violación de datos. Pero a menudo hay muchas esperanzas de que la brecha no sea tan mala como parece. No empiece minimizando el daño en su divulgación inicial a los clientes afectados. Si lo hace, puede enfrentar una situación peor más adelante.
“La gerencia de TJX en los EE. UU. probablemente admitiría que su respuesta al [breach of 45.6 million credit card numbers] en 2007 no fue bien”, dice JD Sherman, director ejecutivo del administrador de contraseñas Dashlane. “Si bien se comunicaron de manera oportuna, subestimaron el impacto en sus comunicaciones iniciales, lo que hizo que la noticia de que la brecha era mucho mayor fuera aún más difícil de digerir”.
NO seas un especulador.
“Una manera terrible de manejar una situación de violación es no manejarla en absoluto”, advierte Cassandra Morton, vicepresidenta sénior de éxito del cliente y entrega de servicios en NTT Application Security. “Aún peor es usar el evento como una oportunidad para vender una serie de nuevas herramientas y servicios en un intento de corregir la situación”.
Tampoco ofrezca servicios gratuitos como una forma de salir de la situación. Después de su filtración de 2017 que expuso los números de seguridad social, las fechas de nacimiento y las direcciones pertenecientes a más del 40 % de la población de los EE. UU., se tomaron su tiempo para revelar que Equifax ofrecía a las víctimas un control de crédito gratuito (proporcionado, irónicamente, por los propios Equifax) , pero solo si la víctima proporcionó primero su número de tarjeta de crédito y renunció a cualquier derecho a emprender acciones legales contra la empresa. Después de la presión pública de los reguladores y grupos de defensa, Equifax luego eliminó la cláusula de arbitraje.
NO revelar demasiado tarde.
Después de una violación de datos, el tiempo es esencial. Si los reguladores exigen la notificación (a los reguladores, las fuerzas del orden, los medios de comunicación y/o los clientes afectados), sus sanciones pueden aumentar sustancialmente a medida que pasa el tiempo. (El Reglamento General de Protección de Datos de la Unión Europea puede exigirle que le dé la noticia a las autoridades dentro de las 72 horas posteriores al descubrimiento).
A veces, las investigaciones policiales le prohibirán informar a los clientes afectados de inmediato, pero no se demore indebidamente. Se pueden producir más daños por el uso o la venta de esos datos en otros lugares. Si retrasa la advertencia a sus clientes, proveedores externos u otras personas afectadas por la violación de datos, está preparando el escenario para un daño creciente.
“La peor manera de manejar las notificaciones es no enviarlas o excepcionalmente tarde. Este enfoque aumentará inmediatamente el nivel de desconfianza de los consumidores”, dice Ron Tosto, director ejecutivo y fundador de Servadus, una firma de consultoría de cumplimiento y seguridad cibernética. “El mensaje en el aviso es que su organización está ocultando algo, y la información puede contener declaraciones falsas”.
“Ha habido ejemplos de notificaciones dos años después del hecho y solo después de que una investigación revelara una omisión de los detalles exactos”, dice Tosto.
“El otro enfoque es evitar culpar o dar falso crédito a los sofisticados métodos de los piratas informáticos. Las estadísticas muestran que las infracciones son comunes con vulnerabilidades sin parchear durante seis meses o más”, agrega Tosto.
Cuando la agencia de crédito Equifax descubrió una brecha en 2017 que expuso números de seguridad social, fechas de nacimiento y direcciones pertenecientes a más del 40 % de la población de EE. UU., se tomaron su tiempo para revelarlo. Esperaron 40 días
Sin embargo, si su empresa se mantiene en silencio acerca de una violación de datos a menos y hasta que los medios de comunicación se enteren y lo anuncien públicamente, o si las noticias se rompen y todavía se toma su tiempo para enviar esas cartas de notificación, es probable que haya creado una pesadilla de relaciones públicas. .
“La peor manera de manejar la notificación de los clientes es que los clientes se enteren primero en las noticias y luego reciban una notificación, semanas o incluso meses después”, dice Johnson.
La regla de oro
Afortunadamente, todos estos malos movimientos se pueden eludir simplemente confiando en la regla de oro.
“Los clientes a menudo se enojan y pierden la confianza en las organizaciones que no son transparentes, no comunican ninguna acción o se hacen las víctimas”, dice Megan Paquin, APR, CPRC, líder del equipo de gestión de crisis de la empresa y vicepresidenta de Poston Communications, PR y empresa de comunicación de crisis. “Entienden que los delincuentes están detrás de estos ataques, pero necesitan sentirse seguros de que las empresas los respaldan en lo que respecta a la privacidad y seguridad de sus datos”.
Qué leer a continuación:
.