Cómo comunicar un incidente de seguridad 

20 Sep 2019

Lo recuerdo como si fuera ayer: nuestro fundador me pidió que fuera a su oficina, pero que dejara la laptop el smartphone en mi mesa.  

–Nos han hackeado –me dijo sin rodeos–. La investigación sigue en curso, pero podemos afirmar que un atacante muy sofisticado y auspiciado por un estado, se ha adentrado en nuestro perímetro. 

Siendo sincero, esto no me sorprendió. Nuestros especialistas se han estado enfrentado a las brechas de seguridad de nuestros clientes por tanto tiempo que, como empresa de seguridad, éramos un objetivo de interés. Aun así, resultó muy desagradable: alguien había penetrado en las ciberdefensas de una empresa de seguridad de la información. Aquí encontrarás toda la información. Hoy me gustaría hablar sobre una de las preguntas que surgieron de inmediato: “¿Cómo lo comunicamos?”.  

<tweet embed https://twitter.com/hackingteam/status/608907507873001472> 

Cinco etapas para aprender a sobrellevarlo: negación, ira, negociación, depresión y aceptación. 

Antes del RGPD las organizaciones podían elegir si comunicar el incidente públicamente o negar lo sucedido. Pero esto último no era una opción para Kaspersky Lab, una empresa de ciberseguridad transparente a favor de una divulgación responsable; por lo tanto, tras un consenso en la directiva, comenzamos a prepararnos para el comunicado. ¡A todo vapor! 

Era lo correcto, sobre todo viendo la creciente ruptura geopolítica, pues sabíamos que las potencias que estaban detrás del ciberataque utilizarían la brecha en contra de nosotros; solo desconocíamos el cómo y el cuándo. Al comunicar nosotros la brecha, no solo los privamos de esta oportunidad, sino que también utilizamos el caso a nuestro favor. 

Dicen que hay dos tipos de organizaciones: las hackeadas y las que no saben que han sido hackeadas. En esta industria el paradigma es simple: una empresa no debería ocultar una brecha. De hecho, resulta más vergonzoso no informar al público, ya que esta situación podría amenazar la ciberseguridad de socios y clientes. 

Bueno, volvamos a nuestro caso. Una vez establecidas las partes involucradas (los departamentos de seguridad de la información y el jurídico frente a los de servicio de atención al cliente, marketing, ventas y comunicación), comenzamos a preparar el mensaje oficial y un informe de preguntas y respuestas, el Q&A. Mientras, los expertos del GReAT (Equipo de análisis e investigación global) de Kaspersky continuaban con la investigación; los miembros del equipo involucrados dirigían todas las comunicaciones mediante canales cifrados para evitar que la investigación se viera comprometida. Solo cuando tuvimos la mayoría de las respuestas del Q&A nos sentimos preparados para hacerlo público.  

 Como resultado, varios medios de comunicación publicaron casi 2,000 artículos sobre una noticia que iniciamos nosotros mismos. La mayoría (el 95 %) fue neutral, solo un pequeño porcentaje (menos del 3 %) dio una cobertura negativa sobre el tema. Resulta comprensible, ya que fuimos nosotros, nuestros socios e investigadores de seguridad los que, trabajando con la información correcta, dimos a conocer la noticia a los medios. No tengo las estadísticas exactas, pero por el modo en el que reaccionaron los medios a la historia del año pasado de un ataque ransomware contra Hydro, el gigante noruego del sector del aluminio,  parece que esta noticia no se gestionó de la forma correcta. Por tanto, la moraleja es que no hay que ocultar información.  

No solo hemos aprendido la lección, también hemos avanzado 

La buena noticia es que gracias al ciberataque del 2015 descubrimos no solo las capacidades técnicas de los actores de ciberamenazas más avanzadas, sino también cómo reaccionar y comunicar una brecha. 

Tuvimos tiempo de investigar el ataque de forma minuciosa y aprender de él. Pasamos por las etapas de ira y negociación, es decir, preparamos a la empresa para lo que íbamos a comunicar al público. Y durante todo ese tiempo, la comunicación entre los colegas de ciberseguridad y los expertos de comunicación corporativa seguía en marcha. 

Ahora el plazo de preparación para este tipo de comunicados se ha acortado drásticamente: por ejemplo, el RGPD requiere que las empresas que operan con datos de clientes no solo informen a las autoridades sobre las brechas de seguridad, sino que además lo hagan en 72 horas. Además, si una empresa sufre un ciberataque deberá estar preparada para dar a conocer la información al público inmediatamente después de notificar a las autoridades 

“¿Con quién debemos comunicarnos dentro de la compañía? ¿Qué canales podemos utilizar y cuáles debemos evitar? ¿Cómo debemos reaccionar? Estas y muchas otras son las preguntas que tenemos que responder durante la investigación. Es posible que no puedas solucionar estas preguntas por ti mismo en el poco tiempo que tienes a tu disposición, por ello toda esta información y nuestra valiosa experiencia constituyen la base del servicio Kaspersky Incident Communications.   

Además de una formación estándar por parte de especialistas certificados en comunicación que ampara la estrategia y el asesoramiento sobre comunicados externos, el servicio ofrece la oportunidad de aprender de nuestros expertos del equipo GReAT, que disponen de información actualizada sobre herramientas y protocolos de comunicación y que pueden aconsejarte sobre cómo conducirte en caso de una brecha de seguridad