Comunicación a Stakeholders Durante Incidente
Respuesta directa
Comunicar mal un incidente se vuelve un segundo incidente. La fuga prematura a la prensa crea especulación. La comunicación tardía al cliente se vuelve proceso. El regulador no notificado en 72h se vuelve multa. Esta matriz alinea audiencia, mensaje, momento y qué NO decir.
Por qué la comunicación durante incidente es distinta
En un incidente cyber, cada audiencia tiene necesidades distintas y cualquier mensaje viral crea responsabilidad. Comunicar todo a todos crea pánico y puede violar secreto de investigación. No comunicar viola obligación legal (LGPD Art. 48, GDPR Art. 33, leyes equivalentes). El equilibrio es: cada audiencia recibe el mensaje CORRECTO, en el momento CORRECTO, con nivel de detalle ADECUADO. La coordinación entre técnico, jurídico, comunicación y CEO es obligatoria.
Matriz de comunicación por audiencia
- 1.CEO / Consejo (0-6h). Hecho: 'sufrimos un incidente, está en contención, sin decisión de pago o comunicación pública aún'. Foco: impacto estimado y ventana de decisión. NO especule sobre culpa u origen.
- 2.Jurídico interno + seguro cyber (0-12h). Detalle técnico: variante, alcance afectado, datos personales potencialmente filtrados. Privilegio jurídico. NO comunique sin involucrar legal — ellos definen qué puede/no puede salir.
- 3.DPO + regulador (hasta 72h si hay dato personal). Notificación formal siguiendo plantilla del regulador. Incluye: naturaleza, datos afectados, número de titulares, medidas adoptadas. Las leyes varían por jurisdicción. Multas por no notificación pueden llegar a 2-4% de facturación.
- 4.Colaboradores internos (24-48h). Mensaje coordinado del CEO. Foco: 'incidente en curso, contención en marcha, instrucciones para colaboradores: qué NO clicar, NO postear en redes'. Evita rumor interno y filtración por empleado.
- 5.Clientes afectados (tras confirmación técnica). Comunicación clara, sin jerga: 'identificamos incidente que puede haber afectado sus datos X, Y, Z. Medidas: A, B. Recomendamos: cambiar contraseña en Z días.' Las regulaciones exigen hasta 72h tras confirmación. Antes de eso = especulación.
- 6.Prensa / mercado (último, coordinado). ¿Cuándo? Solo cuando hay hechos confirmados y la empresa controla la narrativa. Comunicado preparado por agencia especializada en crisis. No comente especulaciones. Foco en 'medidas adoptadas', no en 'culpa'.
Preguntas frecuentes
¿Puedo esperar para notificar al regulador?
No más allá de 72h tras conocimiento. Las leyes varían por país pero la mayoría establece 72h. Las multas por no notificación pueden llegar al 2-4% de facturación. Excepciones limitadas a casos con riesgo bajo documentado.
¿Debo comunicar el ataque públicamente?
Depende. Si hay dato personal filtrado: sí, a los titulares afectados. Si es empresa pública (capital abierto): hecho material al mercado conforme regulación. Para empresa privada sin dato personal afectado: la comunicación pública es decisión estratégica, no obligación legal.
¿Cómo evitar especulación interna?
Mensaje oficial del CEO hasta 48h tras descubrir. Mensaje coordinado de TI sobre qué hacer/no hacer. Canal específico para preguntas (email dedicado). Cuando hay vacío de comunicación, la especulación lo llena.
¿Qué decir si la prensa llama antes de tener respuesta?
'Estamos investigando un incidente de seguridad y tomando todas las medidas técnicas y legales correspondientes. Daremos actualización cuando tengamos hechos confirmados.' No niegue, no detalle. Derive al portavoz designado.
¿Cómo medir el éxito de la comunicación?
Indicadores: (1) Tiempo hasta notificación al regulador < 72h. (2) Volumen de churn entre clientes afectados en los 90 días siguientes. (3) Cobertura de prensa: % de citas que mencionan medidas vs % especulando culpa. (4) NPS post-incidente entre afectados.
¿Necesita apoyo en comunicación de incidente?
Apoyo técnico para redacción de notificación regulatoria + posicionamiento de prensa.