Javier Salgado

Comunicación de Crisis

Cómo hacer frente a un ciberataque

por Dejar un comentario

Desde que Ashley Madison, el portal que facilita aventuras extramatrimoniales a personas casadas, fuera objeto de un ataque que puso en vilo a 37 millones de usuarios infieles a sus parejas, el problema de los hackeos no ha hecho más que crecer de forma exponencial. Hoy se estima que las empresas españolas sufren 2,8 ciberataques de media al año, según PwC.

El de Ashley Madison fue un caso sonado por el morbo que envolvía a la actividad del portal. Antes fue víctima de un episodio parecido la compañía Sony Pictures a raíz del estreno de su película The Interview. En la cinta, dos periodistas reciben la misión de asesinar al líder de Corea del Norte, Kim Jong-Un. La trama no hizo ninguna gracia al régimen norcoreano, al que algunos señalaron como supuesto artífice del ataque. Más de 12.000 emails de Sony fueron hackeados y el episodio supuso unas pérdidas de 200 millones de dólares para la compañía. Fue el mayor ciberataque sufrido por una empresa norteamericana hasta ese momento. Como anécdota cabe recordar que la multinacional guardaba sus contraseñas en una carpeta llamada precisamente así, “contraseñas”.

El ataque global WannaCry que hace unos días afectó a 200.000 equipos de unos 150 países, entre ellos España, marca un hito en la historia de los ciberdelitos y obliga a empresas de todo tipo a replantearse las medidas de seguridad para no poner en peligro su cuenta de resultados ni su reputación. Como explica a este blog José Ramón Morales, socio de Garrigues y experto en industria tecnológica y negocios digitales, “las empresas se dividen entre las que han sido ciberatacadas y las que lo han sido y no lo saben. A veces determinados fallos se atribuyen a un mal funcionamiento de los sistemas cuando lo que hay detrás es en realidad obra de piratas informáticos”.

Las dimensiones del problema son tales que determinadas escuelas están lanzando en los últimos años sus propios Masters en Ciberseguridad mientras las compañías aseguradoras venden cada año más ciberpólizas, un producto que protege a las empresas ante robos o pérdidas de información y cubre el pago de posibles multas por incumplimiento de la Ley de Protección de Datos (LOPD). El Reglamento General Europeo de Protección de Datos, por cierto, que entrará en vigor en mayo de 2018, obligará a las compañías españolas a cumplir una normativa estricta en caso de que sean víctimas de ciberdelitos.

Me temo que el fenómeno va a ir a más en este mundo hiperconectado marcado por el Internet de las cosas y altamente dependiente de las tecnologías de la información. Lo peor es, como apunta José Ramón Morales, que los “ciberataques son indiscriminados. Es cierto que cuanto más codiciada y sensible es la información que manejas más posibilidades tienes de convertirte en target. Pero hoy puede ser víctima de ellos cualquier pequeña empresa situada incluso en un entorno rural”.

Como en otras situaciones de crisis, además de los aspectos puramente técnicos, la comunicación desempeña un papel crucial a la hora de minimizar el daño a tu reputación. De nada sirve contar con sofisticados sistemas de seguridad si no dispones de una adecuada estrategia que permita hacer saber a los públicos de tu compañía qué medidas estás adoptando para mantener el control de la situación y defender sus intereses. Por eso resumo aquí mis recomendaciones para evitar que un posible ciberataque ponga contra las cuerdas a tu negocio o a tu marca.

¿Qué hacer antes de un ciberataque?

  • Actualiza tu Manual de Crisis. Incluye en él el escenario de un hackeo. ¿Aún no contemplas el ciberdelito como una de las situaciones de crisis que pueden golpear a tu organización? Vas con retraso porque a los escenarios de riesgo de tu empresa se ha añadido este desde hace tiempo. No importa el tamaño de tu compañía ni el sector al que pertenece, ya que todas las organizaciones son candidatas a padecer brechas que se traduzcan en fuga de datos y, por tanto, en un riesgo reputacional.
  • Ensaya. Nada mejor para prepararse ante un escenario de riesgo que un buen simulacro de crisis. Te permitirá familiarizarte con la situación y afrontarla con mayores garantías si se convierte en realidad.
  • Instruye a tu público interno, que desempeña un papel clave antes, durante y después del hackeo. Tu equipo debe saber que prácticas pueden favorecer un ciberdelito. Especialmente si utiliza smartphones a través de los cuales envía o recibe emails, trabaja con datos relativos a las tarjetas de crédito de tus clientes o con cualquier otra información sensible. Fórmale e infórmale para que sepa qué medidas cabe adoptar para reducir riesgos en la medida de lo posible. Y recuerda que el empleado es tu mejor aliado a la hora de comunicar al exterior.

¿Qué hacer durante un ciberataque?

  • Convoca a tu comité de crisis. Determina quiénes lo integrarán si el ciberataque se hace realidad: CEO, equipo legal, asesores en comunicación, informáticos y, por supuesto, forensics encargados de rastrear la fuente del ciberdelito.
  • Rodéate de asesores cualificados. Aunque cuentes con un equipo legal propio, conviene que contrates los servicios de un bufete con experiencia en este tipo de delitos. Del mismo modo, no olvides la importancia de disponer de asesores en comunicación debidamente preparados para escenarios de crisis. Recuerda también la conveniencia de que la estrategia legal y la de comunicación vayan de la mano.
  • Informa a tus stakeholders sobre lo ocurrido. Empieza por aquellos afectados por el ciberdelito. Toma la iniciativa y no dejes que tengan conocimiento de los hechos a través de otros. Comunícate con ellos lo antes posible, sé sincero, muestra empatía e infórmales en tiempo real de lo que estás haciendo para solucionar la situación creada. Si has hecho los deberes y cuentas con un Manual de Crisis que contempla el ciberataque como uno de los escenarios de riesgo, seguro que tienes borradores de comunicados preparados. Son muy útiles y te permitirán reaccionar con agilidad y rapidez.
  • Cumple la legalidad. Comunica los hechos a las autoridades. Tal y como te he comentado, si la tuya es una empresa española, a partir de 2018 los requisitos en este sentido van a ser aún más estrictos en este sentido.
  • Prepara al front desk. El papel de aquellos trabajadores que desempeñan funciones de cara al público es esencial, así que imparte instrucciones sobre lo que deben decir ante peticiones de información por parte de cualquiera de tus públicos externos. Facilítales un documento de preguntas y respuestas que contenga todas aquellas dudas que puedan albergar tus clientes en un momento dado. Explica a tus stakeholders dónde deben dirigirse para mayor información.
  • Monitoriza. Presta especial atención a todo aquello que se dice de ti en el ámbito offline y online. Te permitirá actuar a tiempo si surgen rumores que puedan acrecentar las alarmas innecesariamente.

¿Qué hacer después de un ciberataque?

  • Informa a tus públicos. Comunica a los afectados que la situación se ha solventado
  • Evalúa. Como en cualquier otra crisis, conviene extraer conclusiones de lo ocurrido para saber qué aspectos son mejorables si la situación se repite.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Conecta en Social Media.

!Suscríbete al blog!

Categorías