Por los autores invitados Sean Wood y Katherine Goodyear
Bienvenido a la última edición de Spotlight. Spotlight es nuestra forma de compartir ideas y perspectivas de nuestros socios estratégicos -abogados, aseguradoras, gestores de riesgos y expertos en comunicación de crisis de todos los sectores- sobre cuestiones que pueden influir en la visión de una empresa sobre los incidentes en el mercado y la gestión de crisis.
En esta edición, nos acompañan Sean Wood, vicepresidente ejecutivo, y Katherine Goodyear, directora de cuentas de Weber Shandwick, para ofrecernos una visión general de las comunicaciones sobre ciberseguridad. Exploramos lo que las empresas deben hacer para planificar un incidente y los pasos prácticos que deben tomar para minimizar el impacto, proteger y mejorar la reputación de la marca en caso de que ocurra uno.
Prólogo de Chris Harvey, SVP de servicios al cliente de Sedgwick:
Siga leyendo para obtener más información de Sean Wood y Katherine Goodyear.
Los incidentes de ciberseguridad son una de las amenazas más graves para el negocio y la reputación de las empresas, y pueden erosionar rápidamente la confianza de las principales partes interesadas, desde los clientes a los empleados, pasando por el público en general. Además, son difíciles de resolver, costosos y de rápido crecimiento.
Se espera que la ciberdelincuencia cueste aproximadamente 6 billones de dólares en daños a nivel mundial en 2021, el doble que en 2015, y los ataques de ransomware se dispararon un 151% en el primer semestre de 2021, en comparación con el año completo 2020. El aumento constante de estos incidentes, su sofisticación y su posible impacto operativo y financiero pone de relieve lo importante que es que las empresas de todos los sectores estén preparadas.
De hecho, una reciente encuesta mundial realizada por KRC Research y Weber Shandwick entre ejecutivos de 12 países reveló que la ciberseguridad y la privacidad de los datos son las dos principales preocupaciones de los ejecutivos a la hora de tomar decisiones empresariales importantes.
Adelantarse planificando con antelación
Aunque la gente entiende que los incidentes de ciberseguridad ocurren, a menudo juzgan a las empresas y organizaciones por cómo responden, y las responsabilizan cuando la información queda expuesta o se utiliza indebidamente. Por este motivo, la prioridad número uno de una empresa debe ser disponer de un plan previo al incidente que le permita responder rápidamente a un ataque.
Esta planificación no sólo es lo correcto para proteger la información personal y comercial sensible y la reputación de la marca, sino que los clientes, las aseguradoras y el gobierno están subrayando la importancia de reforzar los planes de respuesta ante incidentes. Recientemente, el Presidente de los Estados Unidos, Joe Biden, celebró una reunión en la que describió la ciberseguridad como un "reto fundamental para la seguridad nacional" e hizo un llamamiento al sector privado para que refuerce la ciberseguridad de la nación en colaboración e individualmente, haciendo hincapié en resolver la escasez de competencias en ciberseguridad. Tras las reuniones de la Iniciativa contra el ransomware celebradas en octubre por el Consejo de Seguridad Nacional de la Casa Blanca, más de 30 países y la Unión Europea emitieron una declaración conjunta de cooperación para mejorar la resistencia nacional, contrarrestar la financiación ilícita, desarticular a los delincuentes del ransomware y utilizar la diplomacia como herramienta para luchar contra el ransomware.
En este caso, planificación significa:
- Desarrollar o actualizar un plan de respuesta a incidentes. Estos planes, que abarcan tanto las respuestas operativas como las de comunicación, deben estar integrados y describir quién debe intervenir, las funciones y responsabilidades, los niveles y umbrales de riesgo e indicar un proceso de comunicación rápida a las partes interesadas afectadas.
- Establecer una planificación de escenarios para posibles riesgos e incidentes. El plan de escenarios debe incluir consideraciones y orientaciones específicas para cada situación, así como una plantilla de mensajes para las partes interesadas que pueda actualizarse rápidamente con los hechos de la situación real en caso de que se produzca un incidente.
- Poner a prueba el plan. La realización de simulacros realistas es una parte importante del proceso de planificación y preparación para poner a prueba la capacidad de la organización para funcionar de acuerdo con el plan y los protocolos. También servirá para detectar lagunas en los procesos que deban subsanarse antes de que se produzca un suceso real.
- Invertir por adelantado. Algunas organizaciones pueden sentirse incapaces de invertir por adelantado para disponer de un centro de llamadas de contingencia u otras soluciones, pero es la mejor manera de evitar no estar preparados. Esta inversión puede incluir la puesta en marcha de un centro de llamadas de notificación de pérdidas/respuesta ante brechas. También puede incluir un centro de información o micrositio secundario, alojado por separado, que pueda activarse rápidamente para comunicarse con las partes interesadas a través de canales alternativos en caso de que pierda el acceso a sus sistemas.
Ahora, cuando se produzca un incidente, su empresa u organización estará mejor preparada para gestionar la situación, activar el plan establecido y centrarse en mitigar cualquier riesgo.
Aplicación del plan
Cuando se produce un incidente, la empresa debe pasar inmediatamente a activar su plan de respuesta a incidentes, actualizado periódicamente. Sea transparente, pero no se adelante a los hechos. El análisis forense de los datos suele llevar tiempo, por lo que es importante comunicar únicamente los hechos confirmados y reconocer que la situación es fluida y puede cambiar. Para minimizar el impacto, proteger y potencialmente mejorar la reputación de la marca, hay varias consideraciones a tener en cuenta:
- Percepción: A menudo, la percepción es que una empresa u organización es responsable aunque no lo sea de los datos violados. Las partes interesadas pueden perdonar y perdonarán los fallos de seguridad, la mala suerte o incluso ambas cosas. Pero intentar desviar la culpa puede ser contraproducente. Los afectados por el percance lo ven de forma sencilla: Te confiaron su información y la perdiste.
- Control: Es posible que usted (la empresa u organización) no controle el momento de la divulgación. Hay muchos factores que pueden acelerar su respuesta. Por ejemplo, los países y estados de EE.UU. tienen diferentes requisitos de divulgación. El ciclo de los medios de comunicación o los comentarios en las redes sociales también pueden forzarla. Los piratas informáticos filtran información confidencial a la red, que luego es recogida por periodistas y blogueros especializados en ciberseguridad. El personal también puede filtrar inadvertidamente información sensible, lo que agrava el problema.
- Obligación: Las empresas y organizaciones pueden tener obligaciones contractuales de revelar el incidente. Cada vez más, los contratos con proveedores y socios incluyen cláusulas que obligan a las empresas a revelar una violación, independientemente de los requisitos reglamentarios. Si la empresa es pública, puede haber un impacto material y consideraciones relacionadas que deben tenerse en cuenta, además de las revelaciones reglamentarias.
- Comunicación: No todos los incidentes exigen una comunicación proactiva de toda la situación a todos los públicos. La decisión de ser proactivo o reactivo y con qué audiencias tiene matices y no es un modelo único. Aunque no existan requisitos contractuales o reglamentarios, las empresas pueden tener la obligación ética de revelar la información, a menudo en función del alcance de la infracción y de la probabilidad de que se haga pública. (Consejo profesional: siempre es mejor que las partes interesadas se enteren por ti que por primera vez a través de los medios de comunicación. Hacerlo demuestra que te tomas en serio la protección de su información).
- Valores: Base siempre la respuesta empresarial en los valores de la empresa. ¿A quién defiendes como empresa y qué esperan de ti las partes interesadas? Ve la situación a través de sus ojos y responde en consecuencia.
El alarmante aumento de los incidentes de ciberseguridad en el último año, así como el número de infracciones bien publicitadas, pone de relieve que nunca ha habido un momento más importante para prepararse. Con más organizaciones y empresas que persiguen un modelo híbrido de trabajo, el riesgo de una violación de datos sólo sigue aumentando. Los actores de las amenazas verán una oportunidad en los trabajadores remotos, y debemos esperar que sigan evolucionando y adaptando sus operaciones a la nueva normalidad.
Dar prioridad a la planificación de la ciberseguridad ahora ayudará a garantizar que su organización esté preparada en caso de que surja un incidente, porque no es una cuestión de "si", sino de "cuándo" se producirá un ciberataque.
Descargue una copia de este reportaje aquí.
Acerca de nuestros autores invitados, Sean Wood y Katherine Goodyear:
Sean Wood es vicepresidente ejecutivo de la práctica global de crisis y problemas de Weber Shandwick, que lleva más de 25 años ayudando a los clientes a salvaguardar su reputación en situaciones de alto riesgo. Sean aporta una perspectiva de reputación corporativa y de marca a la gestión de crisis y problemas para ayudar a los líderes empresariales a abordar situaciones complejas con estrategias integradas para mitigar el riesgo.
Katherine Goodyear es directora del departamento de crisis y problemas de Weber Shandwick en Nueva York. Katherine asesora a sus clientes en los asuntos más complejos y delicados para proteger su reputación. Ofrece una amplia gama de servicios de comunicación de crisis y ayuda a los clientes a gestionar incidentes de ciberseguridad.
Etiquetas: Cumplimiento, Crisis, cibernética, Ciberriesgo, Responsabilidad, retirada, normativa, Cambio normativo + Cumplimiento, Riesgo, Seguridad, Protección de marca