Existe un riesgo muy alto de que tu empresa o cualquier otra tenga sus datos invadidos y filtrados por criminales cibernéticos en un futuro cercano. En 2018, casi la mitad de todos los negocios en el planeta tuvieron al menos un caso de fuga de datos, incluyendo marcas gigantes y reconocidas en todo el mundo, como la cadena de hoteles Marriot y la compañía de aviación British Airways.
“La verdad es que las empresas está finalmente empezando a preocuparse no solo con prevenir las filtraciones de datos, como con planear con anticipación para limitar sus impactos.”
Pero ese cambio de enfoque exige no solo el uso de estrategias clásicas, como adquirir soluciones de seguridad extras, para detectar ataques más rápido, pero también contratar empleados específicamente entrenados para responder a incidentes y entrenar personal para reaccionar de la forma más eficiente en esos casos. Entretanto, eso también genera nuevas variantes en el sector más propenso a fallar en esos momentos: la comunicación de crisis post-fuga de datos.
Reconstruyendo una reputación
Los consumidores están cada vez más preocupados con la privacidad de sus datos. El 83% de los consumidores de EEUU y el 44% de los británicos dicen que dejan de comprar productos de marcas que hayan sufrido algún tipo de filtración de datos en los meses anteriores. Y algunos nunca vuelven a hacerlo.
La necesidad de reconstruir sus reputaciones hizo que las empresas estadunidenses que sufrieron con filtraciones de datos gastaran, en promedio, cerca de USD 161 mil en servicios de relaciones publicas para arreglar su imagen.
¿Y cómo se hace una buena comunicación de crisis después de una fuga de datos?
La gran mayoría de los profesionales de seguridad digital está de acuerdo de que la respuesta ideal para una filtración de datos debe incluir todos los sectores de una empresa, y no solo el equipo de T.I.
Aun así, muchos negocios tienen problemas para responder de manera rápida y repasar informaciones relevantes que den un fin a cualquier tipo de rumores. Pero planear una respuesta con anticipación puede ayudarte a restaurar rápidamente una buena reputación.
Kaspersky, por ejemplo, identificó un ataque avanzado y en gran escala a su red interna en el 2015. Con un trabajo cooperativo y coordenado entre sus diferentes sectores, se hizo posible controlar la comunicación y así reconstruir de manera transparente y responsable la reputación de la compañía.
Eso fue posible gracias a una respuesta basada en 5 principios:
1. Involucra a todos en la planificación de tu gestión de crisis
Una empresa debe planear como quiere comunicarse sobre cualquier tipo de situación que pueda enfrentar, y problemas de seguridad digital están entre esas situaciones.
Tu planificación de crisis debe incluir gente de todos los sectores, eso es, gente de seguridad digital, T.I., jurídico, atención al cliente, marketing y comunicación, como mínimo.
2. Educa a tus empleados sobre ciberseguridad
Construir una cultura de conocimiento sobre seguridad digital trae beneficios que van más allá de una respuesta rápida a las fugas de datos.
Todos los involucrados en un proceso de respuesta a ese tipo de incidentes necesitan, al menos, tener un conocimiento básico sobre el tema.
3. Prepara planes diferentes para diferentes amenazas
Serán necesarias diferentes respuestas, una para cada tipo de incidente. El impacto de una amenaza avanzada persistente (APT), por ejemplo, hace que criminales cibernéticos puedan acceder a las actividades de una empresa, lo que es muy distinto de un ransomware, algo que puede paralizar por completo a una compañía. Por eso, es importante crear un modelo de amenazas en tu planificación, para así identificar los probables escenarios para los que tienes que estar listo.
4. Prepara una alternativa de comunicación interna
Es necesario establecer canales alternativos y seguros para mantener la comunicación entre los funcionarios y así poder planear una respuesta, porque un ataque hacker puede comprometer tu sistema de e-mails, telefonía por IP, direct messaging y hasta llamadas por audio y video.
En esa situación, los empleados involucrados en el proceso deben usar canales encriptados. Prepara con anticipación algunos funcionarios que no sean necesariamente especialistas en seguridad, mostrándoles la necesidad de usar una herramienta encriptados para comunicarse, cómo instalarla y cómo usarla.
5. Sé directo y específico
Cuando no tienen información suficiente, las personas tienden a especular. Por eso cuando estés tratando un incidente, di exactamente qué ha pasado, como eso puede afectar tus clientes y asociados y qué se está haciendo para arreglar el problema.
Todas las tareas se hacen urgentes cuando respondes a una fuga de datos, pero solo el personal de T.I. puede explicarte con precisión los detalles del caso, de forma que puedas actuar con el sector de relaciones publicas para escribir y publicar un comunicado preciso e informativo. Reportar esas informaciones debe ser una prioridad del departamento de T.I., así como tratar de minimizar los daños del ataque.
En general, el éxito de Kaspersky y otras empresas en la gestión de crisis en casos de filtraciones de gran porte es la prueba de que una comunicación bien hecha puede salvar el día, hasta cuando los hackers logran lo que quieren. Y así como en muchas otras situaciones en el mundo de los negocios, la planificación se hace fundamental.