Al poco de entrar como miembro de la Junta Directiva de AERCO-PSM en calidad de Vocal de Digitalización, pidieron por el grupo privado alguien que pudiera preparar una pieza corta sobre temas de comunicación para el número 168 de la revista Profesionales, editada por Unión Profesional (ES). Y gustoso recogí el testigo.
La idea era escribir unas palabras sobre gestión comunicativa ante crisis reputacionales. Acaba de ocurrir lo de Petya, y todavía se oían ecos de WannaCry, así que intenté darle una óptica más marketiniana explicando que con la nota de prensa de rigor no bastaba.
Uno de los grandes problemas que tuvo Telefónica con WannaCry no fue el ataque en sí, sino la oleada de miedo que lo siguió tan pronto tanto alguno de sus directivos como el resto de trabajadores sacaron sus propias conclusiones por redes sociales, vertiendo falacias y exageraciones sacadas de contexto.
¿Qué se debe hacer en estos casos? Pues llegados al mismo momento del ataque, ya poco. El trabajo viene de antes, de mantener a los trabajadores bien formados para que entiendan que medidas como las tomadas aquel entonces (mandar a toda la plantilla que apagaran los ordenadores, se desconectaran de la red, y se fueran para casa) es sencilla y llanamente la mejor opción no por la gravedad real del ataque, sino porque en esa primera fase, el deber del equipo IT es ponerse en el peor de los escenarios. Y como bien sabe, mientras más tiempo le dejes a un ransomware gusanizado actuar, más activos de la compañía serán comprometidos.
Al final WannaCry demostró, como en el caso de Petya/NotPetya, no ser tan terrible como se esperaba. Las medidas de contingencia llevadas a cabo por los chicos de Telefónica fueron las correctas. En lo que erraron fue en la parte comunicativa. Una asignatura que lamentablemente no solo catea la telco española, sino muchas otras grandes y medianas empresas.
La mala suerte, por cierto, hizo que la versión física de la revista vaya con una errata tan simpática como que mi nombre, mi cargo y mi cuenta de Twitter sean las del anterior columnista. En la versión digital, no obstante, lo arreglaron a las pocas horas después de que les avisara.
En la siguiente entrega incluirán una fe de erratas. Pero bueno, que son cosas que pasan :).
Por aquí la pieza que les envié, también consultable en el perfil de Issuu de Unión Profesional (ES):
Con la nota de prensa no se minimiza una crisis reputacional
Pablo F. Iglesias
Vocal de Digitalización
A finales de junio, con el calor de la llegada del verano en el cuerpo, estallaba otra nueva crisis mundial. La central nuclear de Chernobyl, la petrolera Rosneft y el Banco Nacional de Ucrania habían sido comprometidos, entre otros muchos organismos, por un ransomware conocido como Petya. Por España la empresa de alimentación Mondelez (dueña de las marcas Oreo y Chips Ahoy) y el bufete DLA Piper, entre los nombres más sonados.
Un ataque semejante al que apenas un mes antes ponía en jaque a medio mundo (WannaCry), con Telefónica a la cabeza.
Dejando de lado el apartado técnico y centrándonos en la parte que nos interesa, lo cierto es que en ambos casos se hizo patente la falta de una planificación comunicativa, tanto en empresas privadas como en administraciones públicas, ante crisis reputacionales. Algo necesario para el buen devenir de todas y cada una de las industrias afectadas, y que para colmo está alineado con los intereses de negocio.
La mayoría de estas organizaciones únicamente publicaron una nota de prensa, a lo sumo acompañada de un tweet para difundirla, dejando que sus trabajadores acapararan los canales digitales con verdades a medias y hechos sacados de contexto.
Cuánto nos falta por aprender…
¿Tanto cuesta preparar un plan de contingencia que englobe tanto el trabajo de los técnicos como el del departamento de comunicación? ¿Es pedir mucho que en ese plan se contemple la formación de toda la plantilla en unas nociones mínimas de comunicación ante eventuales crisis reputacionales?
Porque anteayer le tocó a Telefónica. Ayer a Mondelez y DLA Piper. Mañana te tocará a ti o a nuestro vecino. Y con ello vienen también las pérdidas económicas, directas (el propio ataque), e indirectas (asociadas a la reputación de marca), que son las más dañinas y las más complicadas de solventar.