El período posterior a una violación de datos no es fácil para las empresas. Se gasta mucho tiempo y dinero para gestionar eficazmente una crisis, y se gasta aún más tiempo y dinero en las secuelas. Estos gastos incluyen a los miembros de los equipos de ti y seguridad que actualizan sus soluciones de seguridad; la administración y los recursos humanos que llevan a cabo la capacitación en seguridad para los empleados; y el equipo de comunicaciones de crisis que habla con los clientes, las partes interesadas y el público en general para recuperar la confianza., La forma en que una empresa gestiona una violación de datos afecta directamente su reputación después de que el polvo se asiente.
para ver cuánto impacto tiene esto, echamos un vistazo a diferentes datos cuantitativos y cualitativos para comprender lo que realmente sucede con la reputación de una empresa después de una violación de datos.
obtenga el libro electrónico gratuito Pen Testing Active Directory Environments
tabla de contenidos
- ¿Con quién siguen comprando los estadounidenses después de una violación?,
- Los estadounidenses confían más en los minoristas
- Los estadounidenses confían menos en los servicios de viaje compartido
- La influencia de la edad y el género en la reputación de la empresa
- Importancia de la reputación en los negocios
- consejos para recuperarse de una violación de datos
- acciones que debe tomar después de una violación de datos
- errores que debe evitar pensar en las empresas después de una brecha?
encuestamos a 1,000 estadounidenses para ver qué tipo de empresa es más probable que sigan comprando después de que un negocio experimente una brecha., Descubrimos que es más probable que las personas compren con una tienda minorista y menos probable que compren con un servicio de viaje compartido después de una violación.
Una cosa a tener en cuenta es que incluimos nombres de empresas que han experimentado infracciones prominentes para cada pregunta. Agregamos Target a la opción de minoristas (la opción ganadora en la encuesta) y Uber a la opción de servicio de viaje compartido (la opción menos favorable en la encuesta).
los estadounidenses confían más en los minoristas
la brecha de Target duró del 27 de Noviembre al 15 de diciembre de 2013., Detectaron su violación en 16 días y la revelaron al público 20 días después del descubrimiento.
muchos criticaron a Target por el tiempo que tardó en notificar al público sobre la violación. Esta fue una de las mayores violaciones de datos en ese momento y provocó mucha discusión sobre la seguridad de los puntos de venta, la seguridad de los datos del consumidor y muchas otras preocupaciones que no se discutieron mucho antes de la violación. Gracias a sus muchos esfuerzos para mejorar su seguridad y recuperar clientes, Target pareció cambiar su reputación desfavorable en los años posteriores a su violación.,
meses después de la violación, Target publicó una lista de sus mejoras de seguridad y tecnología en su sitio corporativo. Entre las mejoras cabe mencionar la mejora de la supervisión y el registro, la revisión y limitación del acceso de los proveedores y la mejora de la seguridad de las cuentas. Su implementación robusta y rápida de mejoras, especialmente en un momento en que estas violaciones no eran tan frecuentes, puede haber influido positivamente en la opinión pública.
Target también es conocido por tener una base de clientes leales, lo que puede haber sido útil para su fuerte rebote., The Huffington Post atribuye esta lealtad a cosas como la conveniencia, el atractivo visual y el fuerte sentido de Community Target proporciona a diferentes clientes. Forbes también cita su inversión en empleados orientados al servicio al cliente como un factor que contribuye a su sólida reputación general.
podemos ver que la percepción del consumidor de Target tuvo una caída del 54.6 por ciento el año siguiente a la violación de datos. En los años siguientes, hubo un repunte generalmente constante con un aumento del 84 por ciento de 2014 a 2018., Una pequeña caída en 2016 probablemente se atribuya a la controversia sobre la postura de Target sobre permitir que los clientes transgénero usen vestuarios y baños por el género que identifican.
como mencionamos, la fuerte lealtad a la marca de Target y los esfuerzos para mejorar su sistema de seguridad son dos factores que probablemente contribuyeron a este repunte. Realizamos esta encuesta seis años después de la violación de datos de Target, convirtiendo a Target en la empresa con la violación más antigua representada en la encuesta., Esto puede haber tenido en cuenta su alta favorabilidad en este estudio, ya que su brecha fue menos reciente y tuvieron más tiempo para recuperarse.
Americans Trust Rideshare Services the Least
la violación de Uber ocurrió en octubre de 2016 y la compañía lo descubrió un mes después. En lugar de revelar la brecha, Uber pagó a los hackers 1 100,000 para eliminar los datos y mantenerse en silencio sobre el incidente. Uber finalmente reveló la brecha en noviembre de 2017 y tuvo muchas repercusiones, incluidas multas, protocolos de seguridad sancionados y disminución de la confianza de los clientes.,
en contraste con Target, los críticos de Uber fueron mucho más duros con ellos porque violaron las leyes con respecto a la notificación de violaciones. Muchos fiscales generales del Estado fueron críticos y encontraron fallas en la decisión de Uber de ocultar la brecha y su desprecio general por la seguridad.
En nuestra encuesta, más de la gente celebró su confianza con mayores industrias de tiendas y hoteles que con las nuevas industrias como social y rideshare. Los consumidores parecen ser menos indulgentes con las violaciones de datos para las empresas en las industrias más nuevas., Esto significa que esas empresas deben tener mucho cuidado con la forma en que manejan los datos de los clientes.
una gran diferencia a tener en cuenta en este caso es que Target se remonta a 1902, mientras que Uber solo comenzó en 2009 (con un nombre diferente). La industria de viajes compartidos solo comenzó en 2007 con Zimride. Por lo tanto, Uber tuvo menos tiempo que Target para construir su reputación de marca, menos tiempo para recuperarse de la brecha en el momento de la encuesta, y se encuentra en una industria relativamente nueva.,
Sin embargo, Uber también tuvo varias otras controversias en su corta historia, incluyendo su software «God’S View» que se usó para rastrear ubicaciones en tiempo real de los pasajeros (incluidos políticos y ex novias); problemas en torno a los conductores que pagan menos; y un acuerdo de acoso sexual entre otras acusaciones de sexismo dentro de la compañía. Estos problemas probablemente se agregaron a la rápida caída en la percepción del consumidor.
podemos ver aquí que la percepción del consumidor de Uber bajó un 141.3 por ciento el año en que revelaron la brecha., Incluso a falta de un mes en el año (desde que revelaron su violación en noviembre), la negatividad que rodea a Uber como empresa y sus acciones específicamente relacionadas con la violación fueron lo suficientemente probables como para desplomar su calificación.
influencia de la edad y el género en la reputación de la empresa después de una violación
notamos algunas tendencias en edad y género en relación con el lugar donde una persona todavía compraría después de una violación de datos. Echa un vistazo a nuestros hallazgos a continuación.,
en nuestra encuesta, descubrimos que los millennials confiaban menos en las diferentes instituciones después de una violación de datos. Puedes ver arriba que incluso para las tiendas minoristas, la respuesta ganadora en nuestra encuesta, los millennials todavía confiaban menos en esta institución en comparación con otros
varios estudios e informes han encontrado que los millennials son complicados cuando se trata de confiar., El CIO informó que los millennials generalmente desconfían de las empresas, mientras que Forbes informó que los millennials alguna vez confiaron, pero tienen una erosión general de la confianza gracias al aumento de las violaciones de datos a gran escala.
Cuando nos sumergimos en el género, descubrimos que el núcleo demográfico de una empresa puede influir en la rapidez con la que los clientes continuarán comprando allí.
por ejemplo, encontramos en nuestra encuesta que las mujeres tenían más probabilidades de comprar con minoristas como Target después de haber experimentado una violación de datos., El núcleo demográfico de Target es femenino y las mujeres son en realidad más propensas a comprar en minoristas similares que los hombres. Esto significa que puede haber una relación entre los dos. También descubrimos que los servicios de viaje compartido eran más confiables para los hombres en nuestra encuesta y que los hombres usan Uber un poco más que las mujeres.
La relación entre las violaciones de datos y la reputación
Ahora vemos que los consumidores se preocupan mucho por las violaciones de datos y cómo las empresas las gestionan., De hecho, si una brecha se gestiona mal, es probable que los consumidores pierdan la confianza, se disocien del negocio, informen a su red sobre la brecha y compren con un competidor más seguro.
Un estudio de Centrify encontró que el 65 por ciento de las víctimas de violación de datos perdieron la confianza en una organización como resultado de la violación. IDC encontró que el 80 por ciento de los consumidores en los países desarrollados Desert de un negocio si su información se ve comprometida en una brecha de seguridad.
además de la pérdida de confianza, las empresas también deben preocuparse por las redes de clientes directamente afectados., Una encuesta de marketing de interacciones encontró que:
- El 85 por ciento cuenta a otros sobre su experiencia
- El 33.5 por ciento usa las redes sociales para quejarse de su experiencia
- El 20 por ciento comenta directamente en el sitio web del minorista
la magnitud de cualquier violación de datos es de gran alcance gracias a internet. La reputación negativa generalizada de una empresa, específicamente por una brecha, puede dañar su reputación general más de lo que se dan cuenta. En última instancia, esto puede afectar su resultado final., La revista Security informó sobre un estudio que encontró:
- El 52 por ciento de los consumidores consideraría pagar por los mismos productos o servicios de un proveedor con mejor seguridad
- El 52 por ciento de los consumidores dijo que la seguridad es una consideración importante o principal al comprar productos o servicios.
Consejos para Recuperarse de una Violación de Datos
Ahora que conocemos los hechos, ¿qué podemos hacer? Las violaciones de alto perfil pasadas nos dan ejemplos de qué hacer y qué no hacer después de una violación., Eche un vistazo a continuación para ver lo que puede hacer para ganar la confianza de los clientes y construir éticamente su reputación después de una violación de datos.
acciones a tomar después de una violación de datos
sea la primera fuente en dar la noticia. Esto demuestra transparencia entre usted y el público, además de que le permite controlar la narrativa que rodea la brecha. Dejar que otra fuente divulgue las noticias automáticamente lo pone en la defensa y en desventaja de acuerdo con la estratega de crisis global, riesgo y reputación Davia Temin en un artículo de Forbes que analiza la brecha del objetivo., Temin también aconseja sacar las malas noticias de una vez cuando sea posible y responder cuidadosa y concienzudamente a cualquier correspondencia.
participar en el intercambio de amenazas. Hay un puñado de organizaciones e iniciativas a las que tu empresa puede unirse después de una violación. Estos grupos comparten información sobre sus infracciones para educar a la industria de la seguridad sobre las amenazas en evolución. En última instancia, esto ayuda a todos a aprender a defenderse mejor contra las amenazas cibernéticas en constante cambio. Target es una de las principales empresas que se unieron a dos iniciativas de intercambio de amenazas después de la brecha.,
implementar un plan de notificación robusto. Notificar a sus clientes, empleados y otras partes interesadas relevantes es tan importante como Gestionar la brecha en sí., Hay muchas personas involucradas en el proceso de notificación, incluyendo:
- profesionales de ti y ciberseguridad para transmitir lo que sucedió
- profesionales legales para examinar las comunicaciones y mantener a la empresa informada de cualquier normativa relacionada que necesiten seguir
- ejecutivos de Relaciones Públicas y ejecutivos de alto nivel para transmitir esta información al público
tener al menos algo de esto planeado antes de una violación garantiza que se cuente con un proceso sólido para distribuir la información de la manera más rápida y precisa posible.
contratar a un CISO y otros profesionales de la seguridad., Los líderes y profesionales directamente enfocados en la ciberseguridad pueden mejorar sus esfuerzos de recuperación. También hace una declaración al público de que usted es serio acerca de corregir sus errores y hacer un fuerte impulso para fortalecer sus esfuerzos de ciberseguridad. Target y Sony contrataron a sus primeros CISO después de sus respectivas violaciones. Equifax contrató al CISO de Home Depot para liderar sus esfuerzos de recuperación ya que ayudó en la recuperación de la tienda de mejoras para el hogar.
sea lo suficientemente transparente con todas las partes involucradas. Todos los relacionados con la violación deben conocer la información necesaria., Los consumidores deben saber que su información se vio comprometida y lo que está haciendo para solucionar la situación. Las autoridades deben saber exactamente cuándo y cómo ocurrió la brecha. Sin embargo, hay una línea fina para caminar aquí. Revelar demasiada información en el momento equivocado puede dar a otros hackers el conocimiento suficiente para lanzar otro ataque mientras intentas recuperarte de la brecha anterior.
mide e informa regularmente sobre tus mejoras en ciberseguridad. Las consecuencias de una violación de datos no se detienen después de que las noticias parecen retroceder y las aguas comienzan a calmarse., Construir confianza a largo plazo con el público incluye monitoreo activo y trabajo para prevenir un ataque futuro.
La serie de infracciones de Yahoo año tras año es un excelente ejemplo de por qué las empresas deben priorizar los esfuerzos de ciberseguridad. Asegúrese de tener una solución de ciberseguridad potente e integral para ayudar en sus informes y obtener una visión general de su panorama de ciberseguridad. Un estudio de Statista también encontró que el 73 por ciento de las personas encuentran extremadamente importante solucionar el problema y detener la brecha después de que los datos del cliente se hayan visto comprometidos.,
Errores a Evitar Después de una Violación de Datos
no paga los hackers. Esto no solo ataca directamente a los consumidores y la confianza pública, sino que también alimenta el «mercado» de la piratería, validando aún más la piratería como un medio de ingresos. Como mencionamos anteriormente, Uber pagó a los hackers para eliminar información y mantenerse en silencio sobre el hackeo, y muchas personas en todos los ámbitos condenaron a la compañía de viajes compartidos por esta elección.
no espere para notificar al público., Cuanto más espere para notificar a las personas apropiadas sobre la violación, peores serán las consecuencias de los consumidores y las autoridades. Uber, Equifax y otras filtraciones de datos de alto perfil sufrieron grandes críticas por el tiempo que tardaron en notificar al público. Otras cosas a considerar además de las consecuencias reputacionales son las repercusiones legales de las notificaciones retrasadas. El GDPR solo le permite 72 horas para revelar la violación. El incumplimiento de esa regla o cualquiera de las regulaciones del GDPR puede resultar en multas de hasta 2 22.,6 millones o el 4 por ciento de los ingresos anuales mundiales de la compañía del año anterior.
no haga declaraciones definitivas hasta que confirme los hechos. Volver atrás y corregir una declaración solo empeora una mala situación. Las empresas que hacen esto pueden parecer poco preparadas y poco profesionales, dos cosas que no desea que sus clientes lo perciban después de que haya comprometido su información. En lugar de tratar de obtener información apresuradamente, proporcione actualizaciones sobre cuándo puede proporcionar confirmación y sea transparente sobre por qué no puede divulgar información específica en un momento dado.,
consulte con los diferentes departamentos (relaciones públicas, legal, IT) para asegurarse de que el mensaje y la información es correcta. Equifax se retractó de sus declaraciones varias veces y tuvo varios otros contratiempos después de su violación (incluida la dirección accidental de sus usuarios a un sitio de phishing) que dejó una impresión desfavorable en los consumidores. Yahoo también revisó sus declaraciones sobre la cantidad de Cuentas hackeadas durante su violación. Originalmente informaron que mil millones de cuentas estaban comprometidas y luego se retractaron de esa declaración para decir que cada cuenta (3 mil millones) estaba involucrada., Este error, junto con su cadena de hacks no le fue bien al público.
la forma en que una empresa gestiona una violación de datos afecta su reputación y la percepción del consumidor. Las empresas deben dedicar el tiempo y los recursos adecuados para preparar, gestionar y manejar las consecuencias de una violación. Esto les ayudará a reconstruir y fortalecer su reputación y relación con los clientes, empleados, partes interesadas y el público. El tiempo que se necesita para responder y contener una brecha es un factor importante en la percepción del público de una empresa.,
tener un plan de respuesta a incidentes y participar en un modelado de amenazas efectivo son formas probadas de reducir el impacto general de una violación y tener métodos implementados para fortalecer la confianza del consumidor. No ponga a su empresa en riesgo y deje su reputación al azar. Realice una evaluación de riesgos para ver qué tan preparada está su empresa para una violación y qué puede hacer para tomar las medidas adecuadas para minimizar las amenazas potenciales.
Fuentes: