La comunicación es la gran oportunidad ante riesgos de ciberseguridad

Proteger la reputación en incidentes de ciberriesgos requiere una nueva mentalidad ya que su abordaje no puede ser sólo desde áreas de Tecnología, Informática y Seguridad

La transparencia y la comunicación son tan importantes como las medidas técnicas y de seguridad que implante una compañía.

El nuevo reglamento europeo DORA obliga a las entidades financieras a tener un plan de comunicación específico ante cibercrisis.

Sufrir una compañía un riesgo de ciberseguridad, bien por ciberamenaza o ciberataque, está hoy a la orden del día. Un último ejemplo es el ciberataque a Vodafone Portugal que ha dejado sin servicio a 4 millones de clientes, entre los que figuraban el Instituto Nacional de Emergencia Médica (INEM), el cuerpo de bomberos o diversas entidades bancarias. En España ahí está el dato: Nueve de cada diez empresas sufrió al menos un ciberataque en 2021, siendo los sectores de seguros, telecomunicaciones, fabricación industrial y la banca los más afectados. Que el 94% de las organizaciones españolas hayan sufrido, al menos, un ciberincidente grave de ciberseguridad deja claro la magnitud de este problema. Los datos pertenecen al Informe Deloitte El estado actual de la ciberseguridad en España. Post pandemia: un camino inexplorado, en el que han participado 100 empresas.

La tendencia al alza de los incidentes graves de ciberseguridad se ha visto impulsada por el trabajo en remoto, la movilidad y las tecnologías de la información, el avance de la digitalización y la automatización de procesos y el almacenaje de datos en la nube. El Foro Económico Mundial, en su Global Risks Report 2022,–  el informe que cada año hacen sobre tendencias de riesgos-, alerta que los fallos en ciberseguridad están en el puesto siete del top 10 de convertirse en dos años en una amenaza crítica para el mundo. Las vulnerabilidades cibernéticas de seguridad y los ciberdelitos van a seguir creciendo a la vez que lo hace la expansión de la transformación digital y el desarrollo de las nuevas tecnologías de blockchain, la inteligencia artificial y el metaverso.

Esta realidad implica dedicar más recursos en ciberseguridad,  a prevenir y anticipar procesos de metodología de respuesta y acciones de sensibilización de los empleados frente a estas amenazas. Y también requiere dedicar recursos a la comunicación, algo de lo que no se suele ni hablar ni asignar presupuesto. El error más común es pensar que este asunto es algo que solo afecta a la parte técnica y de seguridad, cuando es también una grave amenaza para la reputación.

Por ello, me resultó muy grato asistir a la exposición de Jorge Chinea, Responsable de ciberseguridad en servicios reactivos de INCIBE-CERT (España), en el evento organizado por la Alianza Española de Seguridad y Crisis ( aesYc) bajo el título “La post-crisis como elemento de refuerzo para las organizaciones”. Chinea afirmó que: “Los procesos y tareas técnicas son importantes, pero las de comunicación deben de estar al mismo nivel”. Así es, al mismo nivel en igualdad de importancia. Este experto argumentó cómo una de las principales oportunidades de mejora en ciberseguridad para las organizaciones está en todos los procesos de la comunicación, tanto interna como externa. Y lo dice con la experiencia acumulada de los casos que han visto y ayudado a gestionar en el INCIBE-CERT.

INCIBE es el CESIRT, Equipo de Respuesta ante Emergencias Informáticas, de referencia para empresas y ciudadanos. Los operadores de servicios críticos y de servicios esenciales o los proveedores de servicios digitales tienen una serie de obligaciones, como la de notificar al INCIBE cuando tienen un incidente de ciberseguridad en relación a una tipología recogida en la Guía Nacional de Ciberincidentes, que sigue la taxonomía definida en la guía de la  Unión Europea.

Los tres principales ciberincidentes, muchos de los cuales acaban en crisis, son el Malware (sobre todo por ransonware); el fraude (al ciudadano, al CEO…), y los sistemas vulnerables como principal punto de entrada para otro tipo de incidentes o robo de información. En el caso de los operadores críticos, en primer lugar están los sistemas vulnerables, seguido de Malware.

Oportunidades de mejora que se observan para reforzar la ciberseguridad:

A continuación indico los cuatro errores más comunes en gestión de amenazas de ciberseguridad  que Chinea expuso de la amplia labor que llevan a cabo el INCIBE en asistir a organizaciones y estructuras críticas frente a este tipo de crisis de ciberseguridad. Señaló que dentro de una crisis las empresas se ven muchas veces sobrepasadas, incluso teniendo el apoyo de servicios independientes que contratan, y que son muy útiles los ciberejercicios, simulaciones que tienen como finalidad entrenar la capacidad de respuesta de una entidad ante incidentes y eventos de ciberseguridad que se podrían dar en situaciones reales.

1) Fallos en los procesos y tareas de comunicación externa e interna

“¿Y esto quién lo ha dicho?”; “No sabíamos que lo teníamos que informar”; “No ha habido ninguna filtración de información”

Se observa que si bien muchas organizaciones tienen procesos operativos técnicos, uno de los principales problemas, y por ello fuente de oportunidades, se encuentra en los procesos de comunicación tanto interna como externa. Muchas veces los propios trabajadores no tienen claro si lo que ocurre es un ciberincidente ni a quién se lo tienen que comunicar. Es habitual también que se den situaciones de falta de transparencia, donde se dice que no ha habido ninguna filtración de datos y luego la realidad es que sí. Casos en donde los ciberdelincuentes publican datos y se ve que han accedido a la información. Este tipo de situaciones de comunicación externa son muy importantes, incluso muchas veces se dan mensajes contradictorios por parte de la propia organización.

2) Los procedimientos se hacen pero no se evolucionan ni se prueban.

“Tenemos un procedimiento ante crisis muy completo”, “¿Cuándo lo revisastéis y probasteis?”, “¿Había que hacerlo?”; “Vamos haciendo sobre la marcha”; “¿Dónde está el procedimiento para hacer…”; “De todo lo que teníamos previsto en el plan no se ha podido hacer ni la mitad”

El procedimiento está vivo, es decir, hay que revisarlo, hay que probarlo, y hay que explicarlo a las personas para que lo puedan llevar a cabo. Hay veces que los procedimientos se hacen para pasar alguna auditoría o similar que exija algún tipo de normativa, y quedan “olvidados” en un cajón. Hasta que llega el momento de darles uso. Es necesario concienciarse de que deben actualizarse para ser operativos.

“Nos encontramos muchas veces con que si hay un procedimiento de crisis o incidentes de alto impacto pero luego nadie sabe donde están los procedimientos operativos de lo que aplica y tienen que hacer en función de las circunstancias. Evidentemente hay que ser flexibles, no se puede tener todo controlado, pero muchas veces nadie sabía que debía de comunicar a los proveedores, clientes y colaboradores de lo que estaba ocurriendo con ese incidente que paralizaba su actividad”, señala Jorge Chinea. Este experto reconoce que como no se prueban los procedimientos, cuando se llevan a la práctica se dan cuenta la mayoría de que lo que tienen sobre el papel está bien, pero no se puede llevar a la practica”.

3) No se ve más allá de la organización: cadena de suministro, colaboradores, de manera bidireccional.

   “Han cifrado la información a través de un ransomware que ha entrado a través de uno de nuestros proveedores”; “el incidente ha afectado a toda la organización y a nuestros proveedores”; “no les habíamos exigido por contrato implantar medidas de seguridad”.

Hay que tener en cuenta en los procedimientos a toda la cadena de valor a la hora de dar respuesta y de manera previa proactiva también exigir los requisitos necesarios a los proveedores con los que nos conectamos e intercambiamos información.

4) El plan de continuidad es importante pero el impacto en el negocio es el modelo para encajar las piezas.

“Sabemos lo que nos ha costado este incidente por el tiempo que hemos parado y lo que nos ha costado repararlo todo pero ¿y lo que dejaremos de facturar ahora?”; “Todos estos años de trabajo ganando la confianza de nuestros clientes se han ido al traste con nuestra falta de transparencia”.

La transparencia es nuestro mejor aliado. La confianza de clientes y proveedores se ve mermada cuando se es poco transparente al no haber recibido información y haberse enterado por terceros. “La estimación de ese impacto negativo es difícil de determinar y es muy alto para organización. El hecho de ser transparentes ante un incidente hace que la confianza no se vea tan mermada porque se ha informado, se ha dicho el alcance y las medidas tomadas. Es algo que da tranquilidad y muestra honestidad”, afirma Chinea, quien insiste en la importancia de la comunicación y de planificar con antelación, ya que “nos hace salir de las crisis más fuertes”.

Atención: Cambios regulatorios que inciden en la comunicación

Las necesidades de comunicación y las demandas sociales de los diferentes grupos de interés están en juego en una crisis, y con ello su confianza, si no se es capaz de darles respuesta y anticiparse a sus expectativas. El caso de las crisis por ciberseguridad no es ajeno a ello. El relacionamiento con todos los grupos de interés es más complejo y hay que tener en cuenta sus perspectivas.

En un periodo de tiempo mínimo hay que recopilar toda la información, explicar qué ha pasado, considerar aspectos como pedir perdón y exponer qué nuevas medidas se van a tomar para que no vuelva a ocurrir. Y, como hemos visto, casi ninguna compañía reconoce que ha sido víctima de un ciberataque  o que ha tenido un problema de ciberseguridad. Además, hay que tener en cuenta que se pueden sufrir problemas complejos derivados de fallos de ciberseguridad, y no por ello estar comprometidos datos.

La ciberseguridad pasa por la comunicación. En esta línea van los cambios en el marco regulatorio en materia de ciberseguridad que se avecinan con los borradores de la Nueva Directiva de Ciberseguridad, la Directiva NIS 2; DORA – para las entidades financieras-; y la Directiva de Entidades Críticas.  El experto en Ciberseguridad y LegalTech Vicente Moret, Letrado de las Cortes Generales en el Congreso de los Diputados y Of Counsel de Andersen, Tax & Legal, participó en la misma jornada de la Alianza Española de Seguridad y Crisis (aesYc) y alertó de los cambios relevantes que se introducen en estas normativas.

Entre ellos figura el importante cambio en materia de gobernanza. Ante una crisis de ciberseguridad el responsable es el Consejo de Administración, ya no será como hasta ahora la persona jurídica. Es decir, la ciberseguridad pasaría a ser responsabilidad de los altos directivos. “El marco regulatorio de la ciberseguirdad ha cambiado y va a cambiar mucho más durante el ejercicio 2022-2023 si se aprueban todas las iniciativas europeas que están en marcha. Todas tienen una idea común que los equipos de riesgos y compliance deben tener presente: los responsables ya no son “los frikis” de IT, es el Consejo de Administración. El Consejo de Administración está obligado a resolver, decidir y optar por políticas de ciberseguridad además de tener la formación adecuada para entender los riesgos tecnológicos”, explica Vicente Moret, quien resalta que es un cambio de paradigma muy importante.

El nuevo reglamento europeo DORA, Ley de Resiliencia Operativa Digital para entidades financieras, introduce 2 artículos dedicados a la obligatoriedad de tener planes de comunicación específicos en caso de sufrir una entidad financiera un ciberincidente. “Ya no va a ser optativo, si no de obligado cumplimiento, que tengan un plan de comunicación ante cibercrisis, con lo cual, se incide con ello en la importancia de la comunicación en materia de ciberseguridad”, señala Moret. Este experto indica que las organizaciones en general están maduras en lo que corresponde a la responsabilidad de la protección de datos pero que es común caer en el grave error de pensar que con ello se tiene cubierta la ciberseguridad.

Los datos son una parte importante de la ciberseguridad total de una organización, pero una organización puede “morir” sin perder un solo dato por un tema de ciberseguridad. Las normativas van hacia la necesaria confluencia a la hora de trabajar de manera conjunta los responsables de la parte técnica, el CISO, y de datos, el DPO, para tener la mejor respuesta. Aunar el cumplimiento normativo y la gestión de la emergencia. La gobernanza interna de la ciberseguridad implica preguntarse una compañía “qué ha fallado en nuestras normas internas que debe ser revisado para reconocer el error y corregirlo”. Y para ello es necesario:

  • Cambiar el “minset” directivo. Cambio de mentalidad, de marco mental, es necesario un abordaje donde no solo es un tema como hemos visto técnico, informático, operativo. El grado de madurez en ciberseguridad de una organización no es solo tecnología, son también procesos y personas. Además, el Consejo de Administración va a ser el responsable directo de los incidentes de cibercrisis.
  • Enfoques y equipos multidisciplinares. Trabajar de manera colaborativa, integrar equipos de diferentes áreas (IT, Legal, RRHH, Comunicación Interna, Externa, …) para dar respuesta a estas amenazas cuyos tiempos de respuesta son “digitales”.
  • Incorporar la comunicación. No solo porque los  empleados son la fuente principal de riesgo para los ciberataques (algo sobre lo que desde hace tiempo he hablado en Ciberriesgos y cómo gestionar el papel de los empleados o El cibercolaborador y cómo gestionar con éxito una crisis reputacional), si no porque los planes de abordaje de los ciberriesgos (como de cualquier crisis) fallaran si no contemplan la parte reputacional.

Esta preocupación por la reputación y los cambios normativos de la Unión Europea son un aviso para navegantes en todos los sectores empresariales y también para otros países. Un avance y una llamada de atención de que ante los nuevos desafíos en materia de ciberseguridad, la comunicación es un elemento imprescindible en su prevención y en la gestión de una cibercrisis.

1 comentario en “La comunicación es la gran oportunidad ante riesgos de ciberseguridad

  1. Pingback: La comunicación es la gran oportunidad ante riesgos de ciberseguridad @nataliasara2 - Protocol Bloggers Point

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s