crisis de reputación por ciberataque

Crisis de reputación por ciberataque: tres consejos para su abordaje con éxito

Cualquier organización está expuesta a sufrir la ciberdelincuencia y por ello vivir una crisis de reputación por ciberataque. Algo que implica poner en riesgo sus datos, los de sus clientes y terceros, la funcionalidad de sus servicios o la disponibilidad de sus productos.

Estar preparado con anticipación frente a este escenario desde la gestión de la comunicación en una cuestión hoy prioritaria para los máximos directivos. La razón es su  impacto en el negocio y cómo afecta a la confianza de sus grupos de interés.

Esta amenaza crítica no es solo una cuestión de tecnología e invertir en seguridad sino de gestión de su comunicación.

 

Crecen las amenazas de ciberseguridad

En los últimos días ha sido ciberatacado Microsoft Exchange, el software de correo electrónico ampliamente utilizado por las compañías. Esto ha afectando a 250.000 entidades en todo el mundo. Entre ellas, el Banco Central Europeo, que han visto afectados su posibilidad de operar y comunicarse.

La web del Servicio Público de España, SEPE, se cayó víctima de un incidente de seguridad. Este hecho afectó la disponibilidad de sus sistemas de información y comunicación. Los ciberdelincuentes utilizaron un ciberataque tipo phishing con email que se hace pasar por un organismo oficial o empresa y que enlaza al virus.

Un total de 39 aerolíneas, entre las que están British Airways, United Airlines Holding o Singapur Airlines, han expuesto datos personales de sus clientes. Sufrieron un ciberataque que duró varias semanas a su programa de fidelización de las alianzas Star y Oneworld.

Son tres ejemplos de crisis de reputación por ciberataque que han saltado a los medios. Tienen en común el acceder a sus recursos y ser infecciones por ramsonware con robo de datos cada vez más sofisticados.  Pese a sus esfuerzos por aislar equipos y mitigar el impacto, sus efectos han durado semanas hasta  restaurar la normalidad. Se puede tardar más de dos meses en resolver un ciberataque de código malicioso a los sistemas informáticos, y un mes, cuando es de tipo ransomware.

El informe realizado por Deloitte en 2019 ya revelaba que el 70% de las compañías había sufrido algún ciberataque. En el último año se están multiplicando de manera exponencial. Una tendencia que, lejos de reducirse, va a seguir creciendo.

La ciberdelincuencia puede tener graves consecuencias: para el negocio, la prestación de servicios, la producción y la imagen de marca y reputación de la compañía. Están en juego datos sensibles, de las propias empresas,  de clientes y ciudadanos, lo que  puede generar reclamación de terceros.

 

Un problema de confianza

¿Confiarías tu dinero a un banco ciberatacado cuyos clientes no pueden operar con su cuenta durante horas ni ver el saldo de su dinero?

¿Te alojarías en un hotel tras filtrarse datos confidenciales que demuestran no puede asegurar la privacidad personal y el uso de consumo?

¿Contratarías un seguro de una compañía que ha visto como se exponen públicamente datos de terceros con los que trabaja?

¿Invertirías dinero en un empresa víctima de un ciberrobo corporativo o que ha quedado inoperativa su cadena de producción tras un ciberataque?

Probablemente lo pensarías mucho antes de responder afirmativamente. Más si has visto en los medios y las redes sociales noticias alertando sobre la grave situación ocurrida en esas empresas.

En la gestión de crisis de reputación por ciberataque hay que ponerse en el lugar de cómo viven la situación los propios usuarios y clientes en activo. Su experiencia con la marca está condicionada según sea la atención recibida al solucionar los problemas generados por este tipo de crisis.

¿Y si el ciberataque deja inhabilitados en la compañía los canales de comunicación internos o los externos o ambos a la vez? ¿Está preparada una organización para reaccionar en un caso así?

Este tipo de amenazas son ahora más proclives a producirse, ya que estamos más conectados que nunca por Internet y las redes sociales. Se ha incrementado el teletrabajo y la digitalización de procesos. Somos más vulnerables los 24 días de la semana a cualquier hora.

Son tiempos de fragilidad en la seguridad y de fomentar todas las medidas  posibles para hacer frente a estos tipos de ciberextorsión, que en la gran mayoría de los casos son retransmitidos en tiempo real.

 

Las tres claves para su abordaje

Las compañías deben preocuparse y deben ocuparse porque la realidad del estado de la ciberseguridad es una situación cada vez con más ataques y más complejos. Deben prepararse porque los riesgos cibernéticos son uno de los mayores peligros a nivel mundial, tal y como alerta el “Informe de riesgos globales 2021” del Foro Económico Mundial.

¿Podemos prevenirlos? ¿Cómo se reduce su impacto reputacional?

Para avanzar en estar mejor capacitados en su gestión, el consejo es implantar en las empresas avances en estas tres líneas de trabajo:

1. Un cambio de cultura en la máxima dirección y concienciación al empleado

2. Un enfoque preventivo y proactivo desde el análisis de los ciberriesgos

3. Plan B: Asegurar contar siempre con canales activos de comunicación

 

Cultura y concienciación al empleado

No se trata de un asunto solo técnico, que depende del CISO e infraestructuras de Tecnología de la Información (IT). Es un asunto transversal, para toda la organización, desde la concienciación de un Buen Gobierno. Su abordaje debe de ser multidisciplinar. Si se quiere proteger la reputación implica incluir al área encargada de la imagen y comunicación, tanto externa como interna.

Así, es necesario tener presente que cualquier tipo de aproximación a una cultura de prevención no puede quedar solo en la inversión tecnológica de sistemas. Esta debe  abarcar las imprescindibles dinámicas de formación e información preventiva a toda la organización, con especial atención a los empleados. El 90% de los incidentes graves se inicia con un fallo humano con técnicas de engaño cibernético, como alerta el Instituto Nacional de Ciberseguridad (Incibe).

Está comprobado que en una gran mayoría de las ocasiones se aprovecha esta vulnerabilidad para acceder a los sistemas a través de los trabajadores. El factor humano es la mayor debilidad. Por ejemplo, un 60% de los ciberataques tienen su origen en descuidos y brechas abiertas por los propios empleados, según los datos del Centro Criptológico Nacional CCN-CERT, integrado en el Centro Nacional de Inteligencia (CNI).

Hay que contar con un programa preventivo  que incluya la formación y la información a los empleados. Ello  impulsará su colaboración, ser más conscientes de los ciberriesgos y saber cómo manejarse dentro de su actividad diaria para minimizar comportamientos que los favorezcan. Por ejemplo, es fundamental interiorizar no abrir los correos sospechosos, sólo descargar aplicaciones de instituciones y organismos acreditados y no utilizar dispositivos USB.

 

El riesgo del teletrabajo

La incorporación masiva que se está realizando al teletrabajo con motivo de la pandemia Covid19 es una ocasión perfecta para prepararse frente a una brecha de seguridad y fomentar una política de seguridad cibernética dentro de la compañía. Las personas deben de estar capacitadas para detectar y evitar el pishing.

Como explica Francisco Perez Bes, socio de Derecho Digital en ECIX y ex secretario general de Incibe: “una descentralización masiva de la actividad de los empleados amplía la superficie de exposición a las amenazas cibernéticas, con el correspondiente incremento de la probabilidad de sufrir algún tipo de incidente de ciberseguridad que afecte a los sistemas y a la información que en ellos se encuentra alojada”.

En la sociedad postcovid las compañías pierden control sobre la actividad de sus empleados online. Estos pasan a seguir desarrollando sus actividades en un escenario de riesgos distinto al que existe dentro de su ecosistema de trabajo habitual. «Ahora se realizan eventuales conexiones y accesos distintos a los que habitualmente se producen desde la oficina”, indica Perez Bes. De ahí la importancia de su formación y de la relevancia de la comunicación interna para informar y coordinar cómo actuar en estos casos.

 

Proactividad ante crisis de reputación por ciberataque

Si se quiere obtener el mejor resultado en la defensa ante este tipo de amenazas, hay que ser proactivo. Solo es cuestión de tiempo que una compañía sufra una crisis de reputación por ciberataque. El consejo es prepararse desde la anticipación frente a situaciones de brechas de seguridad, de información y otros tipos de vulnerabilidad de datos que puedan generar una crisis de reputación por ciberataque.

No solo es un tema del Plan de Continuidad del Negocio y de la política adoptada en la compañía respecto a los riesgos en ciberseguridad (siempre hay cuatro posturas a manejar: evitarlos, transferirlos, mitigarlos o aceptarlos). Las organizaciones deben  ser capaces de detectar amenazas antes de que ocurran y reducir el tiempo de respuesta si éstas ya se han materializado.

Para ello, es imprescindible que las empresas analicen cuáles son sus ciberriesgos, establezcan esos escenarios y su manera de cómo proceder en un plan integral de contingencia específico que incluya su manejo también desde la comunicación o bien que esta hoja de ruta ya esté recogida en el Manual de Crisis de la compañía.

Así, una compañía tiene que tener definido quién y qué acciones se ponen en marcha en caso de sufrir una brecha de seguridad.

 

Protección de datos y confidencialidad

Hay que tener presente, además, que por ley se cuenta con la presión de cumplimiento de una serie de plazos de tiempo en el reporte a instituciones y terceros afectados. Las exigencias de la aplicación del Reglamento Europeo de Protección de Datos (GDPR en sus siglas en inglés) aboca a potenciar en las organizaciones la cultura de protección de datos.

Implica también tener que poner en marcha una serie de medidas para informar, notificar y comunicar, en caso de sufrir las consecuencias de algún tipo de crisis por ciberseguridad. La dilación en la comunicación de un ciberataque es el motivo más común por el que la Agencia Española de Protección de Datos (AEPD) puede sancionar a una empresa.

No se puede improvisar en este tipo de gestiones donde son tantas las personas de diferentes departamentos involucradas (Informática, Tecnología, Sistemas, Protección de Datos, Legal, Compliance, Comunicación). Solo desde la prevención, contando con un procedimiento previo de cómo actuar, puede manejarse con la agilidad necesaria para ser eficaces y responsables en la respuesta. Esta respuesta debe integrar las tres vertientes tecnológica, jurídica y de comunicación para poder lograrlo.

 

Cumplimiento de plazos de notificación

Si el tipo de ciberataque implica una brecha o fuga seguridad en los datos personales de cualquier tipo, debe asumirse el cumplimiento en materia de notificación y comunicación que marca la Ley.

Y en España supone una obligación de notificación en el plazo de 72 horas a la autoridad de control, sobre las consecuencias y circunstancias de lo ocurrido, así como a los usuarios afectados. Si se desconoce el alcance de a cuántos afectan la ciberincidencia, robo o filtración en la seguridad de los datos, existe una obligación de comunicación pública de lo ocurrido, no solo a los afectados.

Los ataques ransomware cifran los datos o los sistemas donde están y piden un pago por su rescate. Son un secuestro de información y pueden ocasionar graves prejuicios para derechos y libertades de los tratamientos de datos personales de los ciudadanos. Existe una obligación de denunciar este tipo de incidentes antes las Fuerzas y Cuerpos de Seguridad del Estado. No hacerlo agravará la crisis de reputación por ciberataque.

 

Asegurar canales activos de comunicación

Si una compañía no es capaz de reaccionar con la suficiente rapidez, responsabilidad y transparencia ante una crisis de reputación por ciberataque su potencial daño se verá incrementado. En una sociedad de alta conectividad, donde en las empresas es mayor la participación de terceros, supone un reto ser capaces de responder de manera rápida, coherente y coordinada para minimizar las consecuencias de una crisis por ciberdelincuencia.

Luchar contra la incertidumbre de la falta de seguridad. Rebajar el miedo de si han sido o no comprometidos datos confidenciales, o de si estos han podido ser vendidos en la dark web. Estas cuestiones requieren manejar desde el primer momento una estrategia la comunicación y no ocultar lo ocurrido a los afectados. Sin embargo, a veces también la compañía puede ver afectados sus sistemas y no solo fallar el funcionamiento de sus servicios. Pueden estar inutilizados sus canales habituales de comunicación externa y/o interna.

En estos casos, además de revisar si las plataformas mediante las cuales la compañía puede comunicarse siguen estando operativas y seguras, hay que tener previsto con anticipación cómo se va a comunicar en caso de que no estén disponibles dichos canales. Siempre hay que tener un plan B de cómo comunicar con los empleados, con los clientes y con otros terceros externos si esto ocurre.

 

Integrar expertos en comunicación de crisis

La postura de una compañía al enterarse de un incidente de este tipo debe ser contar de inmediato con un equipo de expertos forenses externos para investigar y determinar el alcance total y alertar a las autoridades policiales mostrando siempre la máxima cooperación en su investigación. Y, junto con ello, contar con expertos en comunicación de crisis que se sumen al equipo interno para proteger la reputación de forma alineada con la estrategia técnica, operativa y legal.

La gestión de la comunicación en este tipo de crisis es imprescindible. Hay que comunicar proactivamente a todos los stakeholders, en especial a los clientes afectados. Por un lado, se debe notificar a los empleados lo ocurrido y proporcionar soluciones provisionales para trabajar siempre que sea posible. Por otro, comunicar a los clientes y/o usuarios lo que ha ocurrido y las medidas que se están tomando para retomar la actividad con normalidad, cómo se va a garantizar que puedan seguir operando y atendiendo sus necesidades.

 

Un único relato frente a los rumores

Habrá muy poco margen de tiempo para preparar los mensajes de la compañía. Para transmitir confianza hay que fijar la narrativa de lo ocurrido y contar con un potente Q&A que abarque todas las posibles dudas. Junto a ello, se debe manejar el interés de los medios de comunicación y las conversaciones en las redes sociales. La monitorización digital en estos casos, como en cualquier tipo de crisis, es básica para diagnosticar el impacto del daño.

Los medios digitales suelen recoger estos incidentes desde el primer momento. Y van dándole continuidad informativa en su evolución. Las redes sociales, en función de lo ocurrido y el nivel de afectación, tendrá mayor incidencia de conversación negativa y viralización del asunto. Se tiene que estar preparado para afrontar los rumores y datos erróneos.  Hay que posicionar la compañía como la primera fuente de información. Por tanto, hay que estar preparado para intensificar la interacción, responder para corregir y dirigir  el relato acorde a los hechos e intereses de la compañía.

Debe cuidarse al máximo un buen servicio de atención informativa al cliente (bien a través de las redes sociales, call center, etc) y, si es necesario, algún tipo de acción compensatoria para todos los afectados por las consecuencias del ciberataque. Por otro lado, cada vez es más normal que se utilice en estos casos como portavoces a la máxima dirección de la compañía. El portavoz elegido deberá estar preparado para manejarse ante preguntas hostiles.

 

Prepararse con anticipación ante una crisis de reputación por ciberataque

El consejo de reacción ante el crimen cibernético es ser muy rápidos, en menos de 24 horas, y contundentes en la responsabilidad. Hacer un claro ejercicio de transparencia al comunicar de manera pública el relato de lo que ocurre y su traslado a todos sus stakeholders de manera coordinada.

Dar seguimiento de la evolución con una continuidad de la comunicación y movilizar el máximo apoyo, empezando por el de los propios empleados. Estos dos aspectos ayudarán a reducir las consecuencias del impacto reputacional. En definitiva, para hacerlo con éxito es necesario prepararse con anticipación y no esperar a vivir una amenaza de este tipo.

ETIQUETAS

Si te ha gustado, compártelo

Natalia Sara Mendinueta

Natalia Sara Mendinueta

Directora en Señor Lobo & Friends. Con más de 20 años en consultoría de comunicación estratégica, es experta en protección de la reputación y gestión de riesgos y crisis. Fue gerente de crisis en LLYC antes de incorporarse a Señor Lobo & Friends.

Posts relacionados

Síguenos para estar informado