En primer plano: Cuando se produce un ciberataque: cómo proteger y reparar la reputación de la marca

Por los autores invitados: Sean Wood y Katherine Goodyear

Bienvenidos a la última edición de «Spotlight». «Spotlight» es nuestra forma de compartir las opiniones y puntos de vista de nuestros socios estratégicos —abogados, aseguradoras, gestores de riesgos y expertos en comunicación de crisis de diversos sectores— sobre cuestiones que pueden influir en la visión que tiene una empresa de los incidentes que se producen en el mercado y de la gestión de crisis.

En esta edición, nos acompañan Sean Wood, vicepresidente ejecutivo, y Katherine Goodyear, directora de cuentas deWeber Shandwick, para ofrecernos una visión general de la comunicación en materia de ciberseguridad. Analizamos qué deben hacer las empresas para prepararse ante un incidente y las medidas prácticas que deben adoptar para minimizar al máximo el impacto, proteger y reforzar la reputación de la marca en caso de que se produzca.

Prólogo de Chris Harvey, vicepresidente sénior de servicios al cliente de Sedgwick:

Sigue leyendo para conocer más opiniones de Sean Wood y Katherine Goodyear.

Los incidentes de ciberseguridad se encuentran entre las amenazas más graves para el negocio y la reputación a las que se enfrentan las empresas, y pueden minar rápidamente la confianza de las partes interesadas clave, desde los clientes hasta los empleados y el público en general. Además, son difíciles de resolver, costosos y su incidencia está aumentando rápidamente.

Se prevé quela ciberdelincuenciasuponga unos daños por valor de aproximadamente 6 billones de dólares estadounidenses a nivel mundialen 2021, lo que supone el doble que en 2015; además,los ataques de ransomware se dispararon un 151 %en el primer semestre de 2021, en comparación con todo el año 2020. El aumento constante de estos incidentes, su sofisticación y su potencial impacto operativo y financiero ponen de relieve lo importante que es que las empresas de todos los sectores estén preparadas.

De hecho, una recienteencuesta mundialrealizada porKRC ResearchyWeber Shandwickentre ejecutivos de 12 países reveló que la ciberseguridad y la privacidad de los datos son las dos principales preocupaciones de los ejecutivos a la hora de tomar decisiones empresariales importantes.

Salir adelante planificando con antelación

Aunque la gente es consciente de que los incidentes de ciberseguridad ocurren, a menudo juzga a las empresas y organizaciones por su forma de responder, y les exige responsabilidades cuando se filtra o se hace un uso indebido de la información. Por este motivo, la prioridad número uno de cualquier empresa debe ser contar con un plan previo a los incidentes que le permita responder rápidamente ante un ataque.

Esta planificación no solo es lo más adecuado para proteger la información personal y comercial confidencial y la reputación de la marca, sino que los clientes, las aseguradoras y el Gobierno están subrayando la importancia de reforzar los planes de respuesta ante incidentes. Recientemente, el presidente de los Estados Unidos, Joe Biden, celebró unareuniónen la que describió la ciberseguridad como un «reto fundamental para la seguridad nacional» y pidió al sector privado que reforzara la ciberseguridad del país, tanto de forma conjunta como individual, haciendo hincapié en resolver la escasez de personal cualificado en este ámbito. Tras las reuniones de la Iniciativa contra el Ransomware celebradas en octubre por el Consejo de Seguridad Nacional de la Casa Blanca, más de 30 países y la Unión Europea emitieron unadeclaración conjuntade cooperación para mejorar la resiliencia nacional, combatir las finanzas ilícitas, desarticular a los delincuentes del ransomware y utilizar la diplomacia como herramienta para contrarrestar el ransomware.

En este caso, planificar significa:

• Elaborar o actualizar un plan de respuesta ante incidentes.Estos planes, que deben abarcartanto las respuestas operativas como las de comunicación, deben estar integrados y definir quiénes deben participar, las funciones y responsabilidades, los niveles de riesgo y los umbrales, así como indicar un proceso para informar rápidamente a las partes interesadas afectadas.
• Establecer un plan de escenarios para riesgos e incidentes potenciales.El plan de escenarios debe incluir consideraciones y orientaciones específicas para cada situación, así como plantillas de mensajes para las partes interesadas que puedan actualizarse rápidamente con los datos de la situación real en caso de que se produzca un incidente.
• Puesta a prueba del plan.La realización de simulacros realistas constituye una parte importante del proceso de planificación y preparación, ya que permite comprobar la capacidad de la organización para actuar de acuerdo con el plan y los protocolos. Además, permite detectar deficiencias en los procesos que deben subsanarse antes de que se produzca un incidente real.
• Invertir con antelación.Es posible que algunas organizaciones consideren que no pueden permitirse invertir con antelación en un centro de atención telefónica de contingencia u otras soluciones, pero es la mejor manera de evitar encontrarse desprevenidas. Esta inversión puede incluir la puesta en marcha de un centro de atención telefónica para la notificación de pérdidas y la respuesta ante violaciones de seguridad. También puede implicar un centro de información secundario, alojado de forma independiente, o un micrositio, que pueda activarse rápidamente para comunicarse con las partes interesadas a través de canales alternativos en caso de que se pierda el acceso a los sistemas.

Ahora, cuando se produzca un incidente, su empresa u organización estará mejor preparada para gestionar la situación, poner en marcha el plan establecido y centrarse en mitigar cualquier riesgo.

Puesta en práctica del plan

Cuando se produzca un incidente, la empresa debe poner en marcha de inmediato su plan de respuesta ante incidentes, que se actualiza periódicamente. Hay que ser transparente, pero sin adelantarse a los hechos. El análisis forense de los datos suele llevar tiempo, por lo que es importante comunicar únicamente los hechos confirmados y reconocer que la situación es cambiante y puede evolucionar. Para minimizar el impacto, proteger y, en su caso, mejorar la reputación de la marca, hay que tener en cuenta varias consideraciones:

• Percepción: A menudo, se tiene la percepción de que una empresa u organización es responsable, aunque no sea la causante de la filtración de datos. Las partes interesadas pueden perdonarte —y de hecho lo harán— por fallos de seguridad, por mala suerte o incluso por ambas cosas. Pero intentar eludir la culpa puede resultar contraproducente. Quienes se ven afectados por el percance lo ven de forma muy sencilla: te confiaron su información y tú la perdiste.
• Control:Es posible que usted(la empresa u organización) no tenga control sobre el momento en que se haga pública la información. Hay muchos factores que pueden acelerar su respuesta. Por ejemplo, los países y los estados de EE. UU. tienen distintos requisitos de divulgación. El ciclo mediático o los comentarios en las redes sociales también pueden forzar la situación. Los piratas informáticos filtran información confidencial a Internet, que luego recogen los periodistas y blogueros especializados en ciberseguridad. El personal también puede filtrar información sensible sin darse cuenta, lo que agrava el problema.
• Obligación: Las empresasy organizaciones pueden tener la obligación contractual de dar a conocer el incidente. Cada vez es más frecuente que los contratos con proveedores y socios incluyan cláusulas que exigen a las empresas dar a conocer una violación de la seguridad, independientemente de los requisitos normativos. Si la empresa cotiza en bolsa, puede haber repercusiones significativas y consideraciones relacionadas que deban tenerse en cuenta, además de las obligaciones de información previstas por la normativa.
• Comunicación: Notodos los incidentes exigen una comunicación proactiva de toda la situación a todos los públicos. La decisión de actuar de forma proactiva o reactiva, y con qué públicos, es una cuestión matizada y no existe un modelo único válido para todos los casos. Aunque no existan requisitos contractuales o normativos, las empresas pueden tener la obligación ética de informar, a menudo motivada por el alcance de la violación de datos y la probabilidad de que se haga pública. (Consejo profesional: siempre es mejor que tus partes interesadas reciban la información directamente de ti en lugar de enterarse por primera vez a través de los medios de comunicación. Hacerlo demuestra que te tomas en serio la protección de su información.)
• Valores:Basad siemprela respuesta de la empresa en los valores corporativos. ¿Qué valores defiende vuestra empresa y qué esperarían de vosotros vuestras partes interesadas? Analizad la situación desde su perspectiva y responded en consecuencia.

El alarmante aumento de los incidentes de ciberseguridad durante el último año, así como el número de filtraciones que han tenido gran repercusión mediática, pone de manifiesto que nunca ha sido tan importante estar preparados. Dado que cada vez más organizaciones y empresas adoptan un modelo de trabajo híbrido, el riesgo de sufrir una filtración de datos no hace más que aumentar. Los ciberdelincuentes verán una oportunidad en el personal que trabaja a distancia, y debemos esperar que sigan evolucionando y adaptando sus operaciones a la nueva normalidad.

Dar prioridad a la planificación de la ciberseguridad ahora ayudará a garantizar que su organización esté preparada en caso de que se produzca un incidente, ya que no es cuestión de «si» se producirá un ciberataque, sino de «cuándo».

Descargaaquí una copia de este artículo destacado.

Acerca de nuestros autores invitados, Sean Wood y Katherine Goodyear:

Sean Wood es vicepresidente ejecutivo del departamento global de gestión de crisis y asuntos de Weber Shandwick, donde lleva más de 25 años ayudando a los clientes a proteger su reputación en situaciones de alto riesgo. Sean aporta una perspectiva centrada en la reputación corporativa y de marca a la gestión de crisis y asuntos, con el fin de ayudar a los líderes empresariales a abordar situaciones complejas mediante estrategias integradas para mitigar el riesgo.

Katherine Goodyear es directora del departamento de gestión de crisis y asuntos de Weber Shandwick en la ciudad de Nueva York. Katherine asesora a los clientes en sus asuntos más complejos y delicados para proteger su reputación. Ofrece un servicio integral de apoyo en materia de comunicación de crisis, ayudando a los clientes a gestionar incidentes de ciberseguridad.