El 17 de mayo de 2024 en AddComm sufrimos una brecha de datos. Un hackeo grave que cambió nuestra realidad. El impacto fue enorme. No solo en nuestros sistemas y procesos sino también en nuestros clientes y en nuestro equipo. Y aunque hoy la situación está bajo control los aprendizajes que he obtenido desde entonces son incalculables. Por eso comparto aquí las cinco lecciones más importantes que he aprendido personalmente durante el último año.
Es tentador ver la seguridad de los datos como algo que pertenece sobre todo al equipo técnico. Yo aprendí por las malas que no es así. La seguridad debe formar parte de la forma en que gestionas el negocio. Afecta a tu continuidad a tu reputación y a tus clientes. Como dirección no puedes delegarlo. Necesitas entender cuáles son los riesgos cómo se mitigan y cómo actuar cuando algo sale mal.
Desde la brecha me he implicado a fondo en la seguridad de los datos porque es la única forma de asumir la responsabilidad como directivo. Eso me permite hacer mejores preguntas y evaluar decisiones con más criterio. La seguridad debe estar en la mesa de dirección igual que las finanzas o la estrategia. No puedes ser una organización centrada en el cliente si la seguridad de los datos del cliente no está bien.
En AddComm tenemos los procesos bien organizados. Estamos certificados en ISO 27001 e ISO 9001. Pasamos auditorías anuales ISAE 3402 tipo II. Formamos a nuestro equipo para que conozca los procedimientos correctos. Y aun así algo falló. Lo que aprendí es que un procedimiento sobre el papel no garantiza la seguridad en la práctica.
En esencia hay dos formas de abordar la seguridad de los datos. Una es establecer acuerdos claros para trabajar por procesos y con enfoque de riesgo. Eso exige cuidar mucho el tipo de perfiles que necesita la organización. La otra es definir permisos más estrictos en la infraestructura IT para reducir el margen de error humano. Y sí eso puede implicar tener que iniciar sesión una vez más para ciertas acciones.
En la práctica la combinación de ambos enfoques es la más sólida. En cualquier caso es clave liderar con el ejemplo y generar apoyo dentro de la organización. Todo depende de demostrar lo en serio que la dirección se toma estos riesgos.
Muchas empresas intentan contar lo mínimo cuando ocurre algo. Cuando nuestro hackeo salió a la luz decidimos conscientemente ser abiertos y transparentes. Informamos a los clientes de inmediato y compartimos actualizaciones cada vez que había cambios. Precisamente por eso varios clientes nos dijeron que confirmamos que éramos el partner adecuado. No porque todo fuera perfecto sino porque fuimos honestos sobre lo que estaba pasando.
Lo que aprendí es que la forma en la que gestionas un incidente es decisiva para la relación con tus clientes. Si te escondes pierdes confianza. Si abres el diálogo incluso puedes salir reforzado.
Lo que quizá más me sorprendió durante la gestión posterior a la brecha es que muchos clientes no tenían del todo claro qué datos procesábamos para ellos. Por eso es todavía más importante mantener el control como organización. Dónde guardas los datos cuánto tiempo los conservas y por qué. Con qué proveedores de IT trabajas y cómo compruebas que tienen la seguridad en orden.
Desde el incidente hacemos preguntas mucho más específicas. Queremos saber exactamente quién aporta qué datos con qué objetivo y durante cuánto tiempo se almacenan. No por desconfianza hacia nuestros partners sino porque nos tomamos nuestra responsabilidad muy en serio.
La última lección quizá sea la más simple. No puedes hacerlo solo. La ciberseguridad es compleja cambia constantemente y requiere experiencia especializada que no siempre puedes tener en casa. Por supuesto se pueden organizar muchas cosas internamente pero siempre hay un límite a lo que un equipo puede asumir. Sobre todo en una pyme. El primer paso es reconocer dónde falta experiencia y asegurarse de cubrir ese hueco.
La pregunta clave ya no es cómo evitamos que nos hackeen. Una mejor pregunta es cómo respondemos cuando ocurre.
Esta experiencia me ha cambiado como CEO. Hoy entiendo con más claridad qué es lo que de verdad importa en una crisis. Liderazgo transparencia y la voluntad de tomar decisiones difíciles. Llevo estas lecciones no solo a nuestra forma de trabajar sino también a las decisiones de desarrollo que tomamos en AddComm para nuestro plataforma Flowize.
¿Quieres saber cómo podemos ayudar a tu organización a diseñar una comunicación con clientes más inteligente y más segura?