Lo que no se comunica no existe

13 Jul, 2017

Cómo gestionar ciberriesgos y preservar la reputación

La ciberdelincuencia y los errores propios hacen que todas las empresas sean cada día más vulnerables de vivir graves impactos en su negocio e imagen, algo que va a incrementar en España con la entrada en vigor de las nuevas normativas europeas en protección de datos en mayo 2018 La ciberseguridad y los ataques informáticos se han […]

La ciberdelincuencia y los errores propios hacen que todas las empresas sean cada día más vulnerables de vivir graves impactos en su negocio e imagen, algo que va a incrementar en España con la entrada en vigor de las nuevas normativas europeas en protección de datos en mayo 2018

Los ciberriesgos hacen que todas las empresas sean cada día más vulnerables de vivir graves impactos en su negocio e imagen y la gestión de la comunicación de crisis sea un aspecto clave para preservar la reputación. Los ataques informáticos tipo ransonware son uno de los tipos de ciberdelincuencia más habitual y las empresas deber saber cómo abordarlo desde la comunicación externa e interna, lo que implica apostar por nuevas herramientas digitales de gestión de crisis.

Clientes de un supermercado en Ucrania afectado por el ransomware «Petya».

La ciberseguridad y los ataques informáticos se han convertido en dos de los puntos que más preocupan a las empresas, por lo que deberían adquirir una importancia relevante en los manuales de crisis de las compañías. Tras el ransomware Wannacry”, el último episodio que ha acaparado la atención internacional es el virus bautizado como Petya. Las ciberamenazas se han incrementado un 357% en el último año, según algunos informes y España es el tercer país que más ciberataques recibe a nivel mundial. ¿Cómo afecta esta nueva realidad a las empresas y a su reputación? Nos enfrentamos a un nuevo paradigma de la seguridad donde cada uno de nosotros somos un medio de comunicación en potencia con internet y las redes sociales, con el riesgo que ya en sí supone, y las compañías no se han adaptado a este comportamiento social, ni a la movilidad, el cloud o la información del Big Data.

A ello se suma ahora el ciberriesgo, donde la ciberdelincuencia está pasando a ser una realidad cotidiana en las empresas, cuyo punto más crítico no son ni las estructuras informáticas o el puesto PC de trabajo si no el móvil o tablet del empleado. El trabajador es el elemento más vulnerable de cualquier empresa. No estamos ante una problemática solo de tecnología y es un grave error el concebirlo así. Se necesitan nuevos protocolos y herramientas digitales de comunicación de crisis para actuar ante este tipo de ciberamenazas para hacer frente a una realidad de vulnerabilidad permanente y frenar la desconfianza externa sobre la protección de los datos. La cifra de que las empresas españolas pierden 1,26 millones de euros al año debido a ciberataques, según un estudio de PwC, o los 113 millones de euros que le va a costar el ataque del virus “Petya” al dueño de Durex ya nos da una idea del problema al que nos enfrentamos.

La Unión Europea ha aprobado la nueva Directiva NIS para la seguridad de redes y sistemas de información, y el nuevo reglamento de Protección de Datos para comenzar a legislar en materia de ciberseguridad dentro de los países miembros. ¿Qué supone este nuevo marco regulatorio? La presión normativa y regulatoria va a ir en aumento. Ejercer el control en esta nueva situación va a suponer una fuerte limitación de derechos y libertades, y las empresas: no solo van a estar más vigiladas por el regulador sino obligadas a demostrar, de forma constante, que protegen de manera eficiente los datos de sus clientes, y que son capaces de sostener la operatividad de sus sistemas.

Este nuevo reglamento y legislación europea, que entrará en vigor a mediados del año 2018 y está en fase de transposición en España, implica, entre otros muchos aspectos, que todos los ataques informáticos que se reciban deberán ser notificados a la autoridad competente en menos de 72 horas y si se desconoce qué clientes tienen sus datos personales comprometidos, deberá no solo informarles a ellos si no también comunicarlo de manera pública. Es decir, enfrentarnos a un escenario de crisis que será notorio: habrá que comunicarlo en la página web, en las redes sociales y atraerá a los medios de comunicación.

 Esta regulación recoge además la obligatoriedad de mantener un registro al día de estas ciberincidencias, tener la nueva figura del Delegado de Protección de Datos en la empresa y contempla multas elevadas: hasta 20 millones de euros o sanciones incluso 4% cifra de negocio por incumplimiento. Así, la obligación de informar sobre el hecho de una brecha de seguridad o confesar que se ha sido objetivo de un ciberataque minará la reputación de las empresas al hacerse público.

Presentación en Llorente y Cuenca de las nuevas e innovadoras herramientas y servicios para prevenir y gestionar las cibercrisis, donde se habló de nuevo contexto al que hay que hacer frente con la entrada de la nueva Directiva NIS y del nuevo reglamento de Protección de Datos.

El nuevo marco jurídico europeo implica obligatoriedad de notificar y comunicar ante brechas de seguridad con los datos.

¿Están preparadas las empresas para el panorama que se avecina y su repercusión en el ámbito de la gestión de comunicación de crisis?

La realidad es que falta un sólido escudo protector reputacional que garantice la identificación de los posibles ciberriesgos y la adecuación de los procedimientos operativos preventivos y de gestión ad hoc para cada uno de los riesgos y acorde a la nueva legislación. La exposición pública va a ser cada vez mayor y con ello la necesidad de que las empresas estén preparadas y dispongan de nuevos procedimientos de comunicación con sus clientes con el fin de mantenerlos informados en tiempo real y con el objetivo de evitar que los medios de comunicación pongan el foco en su vulnerabilidad. Esto va a llevar a reforzar equipos de comunicación y a plantearse cómo abordar el continuo flujo informativo ante las críticas online, que se pueden producir a cualquier hora y deben ser neutralizadas lo antes posible.

Un buen ejemplo de comunicación preventiva utilizando los canales de las redes sociales para alertar a los clientes de prácticas de ciberdelincuencia es el llevado a cabo por la aerolínea Aeroméxico y la difusión de estas imágenes informativas rápidamente ante la detección de pishing.

Los ciberriesgos hacen que todas las empresas sean cada día más vulnerables de vivir graves impactos en su negocio e imagen y la gestión de la comunicación de crisis sea un aspecto clave para preservar la reputación. Los ataques informáticos tipo ransonware son uno de los tipos de ciberdelincuencia más habitual y las empresas deber saber cómo abordarlo desde la comunicación externa e interna, lo que implica apostar por nuevas herramientas digitales de gestión de crisis.

Los ciberriesgos hacen que todas las empresas sean cada día más vulnerables de vivir graves impactos en su negocio e imagen y la gestión de la comunicación de crisis sea un aspecto clave para preservar la reputación. Los ataques informáticos tipo ransonware y de pishing son uno de los tipos de ciberdelincuencia más habitual y las empresas deber saber cómo abordarlo desde la comunicación externa e interna, lo que implica apostar por nuevas herramientas digitales de gestión de crisis.

¿Cómo pueden abordar las empresas este gran reto?

Sobre ello en Desarrollando Ideas de Llorente & Cuenca he participado junto a Luis Serrano, director del área de comunicación de crisis, en un paper titulado Ciberriesgos y el nuevo paradigma reputacional”, donde se analiza con detalle esta situación y plantean las líneas de trabajo para abordarlo. Las empresas deberán desarrollar líneas de acción para la protección de los datos, la preservación de pruebas en caso de ataques, el empleo de la inteligencia artificial en el análisis e informes de riesgos y dotarse de equipos multidisciplinares formados por especialistas en legal, financiero, comunicación de crisis y reputación. Y junto a ello incorporar nuevas herramientas digitales de gestión.

Solo así se podrá reducir el tiempo de la gestión, ganar en eficacia, acometer todos los requisitos de la nueva presión normativa regulatoria y reducir el impacto negativo tanto dentro de la organización como fuera, sobre todo en caso de tener presión solitaria. Respecto a herramientas digitales, Llorente y Cuenca se ha asociado con Noysi para crear un producto conjunto de gestión de crisis y, tras meses de trabajo, la innovadora plataforma de gestión digital de crisis ya está disponible y estas son algunas de sus prestaciones.

En resumen, no hay solución mágica, pero se debe disponer de la suma de dos elementos clave:

  • Equipos de comunicación preparados en procedimientos de prevención específicos en gestión de ciberriesgos con cobertura y disponibilidad total
  • Usar herramientas digitales de monitorización y de gestión de crisis capaces de reducir de forma sustancial la distancia entre el tiempo humano y el tiempo máquina a la hora de fijar la estrategia y ejecutar la táctica de gestión de crisis.

Ese es el camino para ganar tiempo y eficacia operativa y las compañías cuyos CEOs tengan estos aspectos claros e inviertan recursos para implantarlos entrarán a formar parte de la élite empresarial que se toma en serio su reputación y está protegida para operar y reaccionar en un mundo donde todo es hackeable y todo está hiperconectado. Es la manera óptima de abordar los tiempos que vivimos y los que se avecinan.

GuardarGuardarGuardarGuardarGuardarGuardarGuardarGuardarGuardarGuardarGuardarGuardar

GuardarGuardarGuardarGuardar

GuardarGuardar

GuardarGuardar

Artículos relacionados

Si te ha gustado este artículo también te puede interesar

Comentarios

2 respuestas a “Cómo gestionar ciberriesgos y preservar la reputación”

  1. Neus Molina dice:

    Excelente artículo. Por mi parte añadiría un único punto más, recordar que la previsión también incluye contratar un seguro de ciberriesgos que asuma los costes económicos derivados de un ciberataque cuando haya sucedido.

    • nataliasara dice:

      ¡Muchas gracias Neus! Sin duda, llegará el momento en que será «normal» el tener un seguro de ciberriesgos, no solo para las empresas, pymes, autónomos…si no también para particulares. De entrada, con las normativa en vigor en Europa y desde mayo en España es momento de concienciar de su necesidad ante cualquier daño al respecto que se pueda sufrir y causar a terceros por causa de ciberriesgos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¿Quieres recibir las últimas noticias?

Suscríbete a este blog