La Directiva NIS2 sobre ciberseguridad de Redes y Sistemas de Información surge como una necesidad para actualizar la legislación europea en materia de ciberseguridad. Se trata de un texto de obligado cumplimiento para todos los Estados miembros, sobre resiliencia de las entides críticas, cuya transposición se hizo efectiva el pasado 17 de octubre. En Qué debes saber ante la nueva Directiva Europea NIS2 sobre ciberseguridad, Teresa Ruiz se centraba en la necesidad de tomar medidas en casi de un ciberataque ante las nuevas regulaciones que esta Directiva impone a las empresas esenciales. En este artículo vamos a analizar los puntos básicos de nuestro plan de actuación cuando ya hemos sufrido un ciberataque.
Si tienes dudas de porqué deberías seguir leyendo te dejo un dato: los ciberataques costarán a las organizaciones y compañías cerca de 10.000 millones de euros en 2024. Además, el incumplimiento de esta directiva puede conllevar graves consecuencias, como importantes sanciones económicas, restricciones operativas, o incluso el cierre de operaciones.
Table of Contents
Realiza un forensic para conocer la extensión del ciberataque
Lo primero a tener en cuenta, una vez verificado un ciberataque, es activar un protocolo de actuación en dos niveles: en el plano técnico, para recuperar la normalidad operativa, y en el plano comunicativo para dar respuesta al cumplimiento normativo, contener y minimizar los daños cuanto antes.
Desde el punto de vista técnico, lo más indicado es la realización de un forensic con una empresa externa especializada. Es un procedimento donde se realiza un análisis de los sistemas informáticos para evaluar el daño infringido.
En cuanto a la actuación comunicativa, que es la que nos interesa desde el punto de vista del daño reputacional, el DIRCOM puede contar con la asesoría especializada de consultores de comunicación para poner en marcha el plan de respuesta. Este protocolo debe contemplar, básicamente, los siguientes aspectos:
La comunicación interna
Los empleados deben ser los primeros en conocer lo que está pasando. Hay que informarles con transparencia de lo ocurrido y establecer medidas claras sobre cómo ejecutarán sus tareas hasta que pueda recuperarse la normalidad operativa. Si se hace bien, serán los principales embajadores de la marca y del mensaje de la compañía.
Si no gestionamos adecuadamente la comunicación interna corremos el peligro de que los empleados difundan información que no esté alineada con la que está difundiendo la compañía, generando más caos y posibles problemas reputacionales.
La coordinación con las autoridades
A las que se deberá notificar en las primeras 24 horas si el incidente es grave, y a las que habrá que presentar un primer informe de evaluación en un plazo máximo de 72 horas, así como un informe final al mes de lo ocurrido. Aquí juega un gran papel el INCIBE-CERT, organismo público que funciona como portal único para canalizar la información a la Agencia Española de Protección de Datos y a las Fuerzas de Seguridad del Estado si fuera necesario. No obstante, nunca está de más en estos casos ser redundantes e informar a la Agencia Española de Protección de Datos (AEPD) también de forma individualizada. Más vale pecar por exceso que por defecto.
Los clientes siempre deben estar en el centro
Informar con celeridad y de forma clara y transparente a las partes afectadas es también requisito indispensable. Así lo contempla la normativa. Tener preparados de antemano los comunicados tipo o pro forma en caso de ciberataques ayuda a ganar tiempo. Lo ideal es comunicar de forma directa vía email con proveedores y clientes, así como exponer el comunicado en la página web (siempre que no haya sido afectada por el ataque, evidentemente). El comunicado explicará qué ha pasado, qué consecuencias puede tener para los afectados, cómo deben actuar y qué medidas está implementando la compañía para solucionarlo cuanto antes.
Actuar, por tanto, de forma rápida y efectiva en el plano de la comunicación en las primeras horas tras sufrir un ciberataque es clave para el cumplimiento normativo, para minimizar riesgos y evitar elevadas sanciones económicas o que te intervengan la compañía si esta pertenece a un sector estratégico. Y esto solo puede realizarse con garantía de éxito si el procedimiento de actuación lo tienen establecido de antemano los directores ejecutivos.
Aunque a simple vista pueda parecer que las exigencias tanto de seguridad como tecnológicas europeas son un nuevo quebradero de cabeza para las entidades esenciales, la nueva legislación redundará en una mayor seguridad de las infraestrucutras críticas y , por ende, debería reducir las posibilidades de ciberarataque y mejorar la seguridad y la continuidad de negocio de las mismas.