La empresa de ciberseguridad lanzó una actualización de software para Microsoft. Pero un defecto en esa actualización provocó que los sistemas informáticos (y las empresas y servicios que se ejecutan en ellos) fallaran. entrar en crisis en todo el mundo.
Vuelos, hospitales, bancos, servicios de emergencia, medios de comunicación y minoristas estaban todos… impactado.
Además de la disrupción global, el incidente también fue una de las mayores pesadillas de relaciones públicas que una empresa podría imaginar. No solo se erosionó la confianza en los servicios de CrowdStrike, sino que La crisis demostró Cuán frágil es realmente la dependencia mundial de la tecnología.
¿Pero qué tan bien manejó CrowdStrike la situación?
Los usuarios de las redes sociales exigieron una disculpa temprana
Como La pantalla azul de la muerte El viernes, el CEO de CrowdStrike, George Kurtz, hizo una serie de declaraciones públicas en X, LinkedIn y el sitio web de la empresa.
Abordando la causa, Él lo dejó claro que la interrupción “no fue un incidente de seguridad ni un ciberataque”, sino que estaba relacionada con una “única actualización de contenido para los hosts de Windows”.
Kurtz aseguró a sus clientes que todavía estaban protegidos y dijo que el problema había sido “identificado, aislado y se había implementado una solución”.
No fue hasta varias horas después que Kurtz emitió una disculpa en una publicación. en X y en entrevistas con los medios, algo que los usuarios de las redes sociales se apresuraron a señalar y criticar.
Motti Peer, codirector ejecutivo de la empresa de relaciones públicas tecnológicas ReBlonde, que se especializa en gestión de crisis, dijo a Business Insider que la respuesta del equipo de liderazgo de CrowdStrike destacó las buenas y malas formas de reaccionar ante un evento de esta escala.
La primera respuesta de Kurtz el viernes fue criticada en línea por ser demasiado impersonal y carente de franqueza, mientras que su colega, el CSO de CrowdStrike, Shawn Henry, fue elogiado por ser franco y empático con el impacto en un Publicación de LinkedIndijo. Pero esto no sucedió hasta tres días después del apagón.
“La diferencia entre ambas afirmaciones es enorme y muestra cómo las diferencias sutiles en el abordaje de las respuestas a las crisis pueden alterar drásticamente su eficacia”, dijo Peer a BI.
“Aunque la respuesta posterior de Kurtz se disculpó sinceramente por el evento, su ausencia inicial hace que parezca retrasada en cualquier contexto y puede hacer que cualquier comunicación de crisis futura parezca engañosa”, dijo Peet.
Sean Griffin, director ejecutivo y cofundador de Disaster Tech, estuvo de acuerdo en que expresar empatía y mostrar respeto eran principios básicos de comunicación de crisis que todos los líderes deberían implementar.
Él creía que Kurtz merecía crédito por interactuar rápidamente con los medios el viernes, disculparse y prometer soluciones, incluso si los usuarios de las redes sociales dicen que las disculpas no llegaron lo suficientemente rápido.
Sin embargo, el CEO de CrowdStrike podría haber brindado más soluciones sobre lo que los afectados podían hacer a medida que se desarrollaba la situación, dijo Griffin.
Los pasos a seguir en una crisis
Una buena gestión de crisis puede resumirse en unos pocos pasos simples pero cruciales, dijeron los dos expertos a BI.
Peer dijo que el primer paso es investigar lo que sucedió y comprender la magnitud de la crisis. El siguiente paso es disculparse y asumir la responsabilidad por el error.
“A partir de ahí, las empresas deben tomar todas las medidas posibles para resolver la crisis de forma rápida y efectiva con actualizaciones consistentes”, añadió.
“El equipo de liderazgo de la compañía debe explicar a sus clientes y a la comunidad qué medidas proactivas se tomarán para evitar que esta crisis se repita”, dijo.
Griffin dijo que es crucial reconocer la importancia de tener un marco de gestión de riesgos resistente y garantizar que se cuente con un equipo experimentado para llevarlo a cabo.
“Las crisis son parte de la vida humana y no se trata de si ocurrirán o no”, dijo Griffin. “No hay forma de evitarlas, pero sí existe la oportunidad de prepararse para ellas”.
Busque el lado positivo
Se estima que el impacto de la interrupción del servicio de CrowdStrike causó pérdidas de 5.400 millones de dólares para las empresas Fortune 500, excluyendo a Microsoft, según Un análisis de Parametrixun proveedor de seguros en la nube.
Atraer nuevos negocios después de un desastre global de mil millones de dólares puede parecer impensable, pero una crisis importante no tiene por qué ser el fin de una empresa, dijo Peer.
“Si bien el posicionamiento de CrowdStrike sufrió un gran impacto tanto en el sentimiento público como en estado financiero“Logró evitar en gran medida la respuesta aparentemente más negativa que recibieron algunos de sus clientes por el mal manejo de la interrupción del servicio”, dijo el codirector ejecutivo de ReBlonde.
“Delta, por ejemplo, cargó con una buena parte de frustración pública “Debido a la interrupción que afectó a innumerables vuelos y millones de viajeros”, agregó Peer.
Griffin estuvo de acuerdo en que la situación podría tener un lado positivo.
“Para las empresas que se preparan y sobreviven a las crisis, los datos muestran que se generan ingresos al ganar participación de mercado a los competidores o aprovechando la desafortunada atención de los medios como una oportunidad para brillar en medio de la adversidad”, dijo.
Pero a medida que la interrupción del servicio de CrowdStrike disminuye lentamente, muchos todavía están preocupados por la potencial incorporado de sistemas que dependen de la tecnología que colapsan, arrastrando consigo todas las operaciones.
¿Cómo se puede evitar esa crisis?
“Las empresas de cualquier tamaño deberían operar con planes de contingencia claros y sólidos en caso de que ocurran tales eventos”, afirmó Peer.
Griffin dijo que su empresa, que ofrece software de gestión de crisis, está revisando sus planes y políticas para evitar el tipo de fallo tecnológico que experimentó CrowdStrike. Recomendó que otros hagan lo mismo.
“La conclusión es que la gestión de crisis no es una cuestión de cumplir con un requisito; es una evolución y requiere capacitación, ejercicio y aprendizaje continuos para mejorar, especialmente a medida que evolucionan la naturaleza de las amenazas y los tipos de incidentes”.