Lo que no se comunica no existe

24 Oct, 2023

Saber comunicar bien y ser diligente para proteger la reputación ante un ciberataque

La reputación está en juego cuando una organización sufre algún tipo de ciberriesgo que termina en una crisis. Los ciberataques son cada vez más comunes y hay que tener bien claro que no es una cuestión que solo afecte a la operatividad de la compañía si no que amenazas de este tipo tienen un claro […]

La reputación está en juego cuando una organización sufre algún tipo de ciberriesgo que termina en una crisis. Los ciberataques son cada vez más comunes y hay que tener bien claro que no es una cuestión que solo afecte a la operatividad de la compañía si no que amenazas de este tipo tienen un claro impacto en los distintos grupos de interés de una empresa minando su confianza.

¿Comprarías por primera vez o volverías a comprar un billete de avión en la página web de una aerolínea que ha sufrido un ciberataque fruto del cual tus datos bancarios han sido robados y debes por ello cancelar la tarjeta con la que realizaste la compra para no ser víctima de un fraude? Es lo que le ha pasado a más de 100.00 clientes de la compañía Air Europa. Sin duda, un fallo se seguridad muy grave. Es más, la regulación impide almacenar datos de tarjetas de clientes, pero se han filtrado igualmente.

Además, ya en 2018 Air Europa también fue víctima de un hackeo con robo de datos bancarios  y personales de 489.000 clientes, lo que le supuso una multa de 600.000 euros por parte de la Agencia Española de Protección de Datos (AEPD) por no aplicar medidas apropiadas para garantizar la seguridad de los datos y por notificar este ataque de seguridad con 41 días de retraso, pese a que la ley obliga a hacerlo en un plazo máximo de 72 horas.

El caso de Air Europa ejemplifica la vulnerabilidad frente a brechas de seguridad de los sistemas de información y gestión de datos de las empresas. Las campañas de robo de datos y la extorsión están a la orden del día. Los ciberdelincuentes lograron infiltrarse en sus servidores y obtener información sensible de los clientes, el número de tarjeta de crédito, la fecha de caducidad de la misma, incluyendo los códigos CVV (los tres números situados en el reverso de la tarjeta de crédito o débito), que son un elemento esencial para la validación de transacciones en línea.

Hay tres aspectos que los directivos deben tener en consideración ante la compleja realidad de hacer frente a la gestión de una crisis de este tipo:

1. Equipos expertos multidisciplinares y respuesta alineada

Cuando se vive una situación crítica de este tipo su abordaje corporativo es una pesadilla y debe ser integrado por equipos multidisciplinares que trabajen alineados, ya que de manera paralela hay que dar una respuesta desde la parte tecnológica, el ámbito legal y el de la comunicación. Y hay que hacerlo de manera muy rápida y eficaz pues existen unos requerimientos legales de plazos de tiempo y obligaciones que cumplir, además del “real time” de vivir en digital. En cultura de la ciberseguridad las empresas no pueden adoptar una postura reactiva. Lo óptimo es anticipar, tener previsto un plan de comunicación de crisis por si llega el caso de sufrir un ciberataque.

Porque si esto ocurre la empresa va a tener que tomar múltiples decisiones empresariales en muchos frentes en paralelo en un contexto de máxima presión:

    • tiene que solucionar el problema operativo del daño generado por el ciberataque para poder seguir funcionando lo antes posible con normalidad;
    • pero, además, se enfrenta a la exigencia de  responsabilidad sobre lo ocurrido y el escrutinio del cumplimiento normativo;
    • tiene que recopilar todas las pruebas y datos técnicos con investigadores forenses;
    • debe emprender acciones legales;
    • atender a los requerimientos que se deriven de la investigación por parte de la policía técnica, ya que se deben denunciar inmediatamente los hechos;
    • debe acreditar que se cuenta con las medidas de seguridad técnicas y organizativas necesarias;
    • y se tiene que notificar a los organismos técnicos reguladores, en concreto a la Agencia de Protección de Datos, al CCN-CERT (Centro Criptológico Nacional y Centro Nacional de Inteligencia), al INCIBE (Instituto Nacional de Ciberseguridad).

Y junto con todo ello, en paralelo, tiene que gestionar estratégicamente la comunicación del ciberincidente con todos sus grupos de interés, más allá de lo que se deba hacer en materia de notificar e informar que marca la ley en estos casos.

¿Cuál es la estrategia a seguir? ¿Cómo se debe de actuar si queremos, además de dar respuesta de manera operativa, proteger la reputación de la organización ante los ciberriesgos? ¿Qué hacer desde la comunicación si estamos ya sufriendo un ciberataque? ¿Qué hacer para preservar la confianza, para que ésta se vea lo menos afectada ante sus stakeholders? En los siguientes puntos se dan las pautas.

2. Saber comunicar bien de manera coordinada en tiempo y forma

En el caso de Air Europa un punto clave es que la comunicación de lo ocurrido llegue cuanto antes a todos los clientes afectados para que estos puedan reaccionar y tomar medidas ante los datos robados y expuestos. Hay que tener en cuenta que es responsabilidad de la empresa asegurarse de que todos los clientes reciben la comunicación por el canal preciso que les permita enterarse. Sin embargo, no son el único grupo de interés involucrado. Por ello, siempre deben identificarse quiénes son los grupos de interés prioritarios para atenderlos a través de la gestión de la comunicación (empleados, proveedores, clientes, usuarios afectados, inversores, medios de comunicación, autoridades, accionistas, etc.) y hacerlo de forma coordinada.

La confirmación de un ciberataque hay que saber transmitirla aportando la información necesaria y relevante sin generar mayor impacto de miedo e inseguridad. Si previamente ya se cuenta con un protocolo de comunicación de crisis que recoge cómo actuar se agilizará la capacidad de reaccionar, la respuesta será más ágil y facilitará adaptar el mensaje del relato de  lo ocurrido según grupo de interés y el canal de comunicación a utilizar.

España cuenta con uno de los marcos legales más avanzados en materia de ciberseguridad. Hay una serie de leyes que se deben de cumplir en sus requerimientos normativos: Ley Protección de Datos (LOPD) y el Reglamento General de Protección de Datos (RGPD); Ley Servicios Sociedad de la Información y Comercio electrónico (LSSI); Ley NIS, que es la trasposición de la Directiva Europea NIS (Europea “Network and Information Security”). La legislación española obliga a notificar el ciberincidente a la Agencia Española de Protección de Datos, autoridades pertinentes u organismos equivalentes, y a las personas cuyos datos se hayan visto afectados para que puedan tomar las medidas oportunas en un plazo máximo de 72 horas desde su conocimiento.

Así, la ley obliga a comunicar si hay fuga de información de carácter personal, lo que supone de entrada para las empresas una mayor exposición pública a los incidentes cibernéticos. Air Europa hizo un comunicado a los clientes por email cuyo contenido se ajusta a los datos que por regulación se deben de aportar y también abrió una cuenta de email específica para atender dudas.

El riesgo reputacional es una amenaza a la confianza y valoración que tienen los grupos de interés de una marca a la empresa, sus líderes y sus productos o servicios a causa del quebranto de sus expectativas. Sin duda, uno de los mayores riesgos de las compañías hoy día son los vinculados con la ciberseguridad. En el caso Air Europa son muy graves las molestias que se producen al cliente por tener que anular la tarjeta bancaria, una situación que genera miedos y deterioro de la confianza en la empresa por el grave riesgo de seguridad al haber fallado en la custodia de sus datos.

Hay que distinguir entre las obligaciones de la empresa de notificar a la autoridad (AEPD), informar a los afectados y hacer una comunicación pública. Esto es lo que se debe hacer en cada caso:

    • NOTIFICAR: Quién lo debe hacer (el Delegado de Protección de Datos); Cuándo (en cuanto se sabe que existe la brecha de seguridad, el incidente); Cómo (A través de cumplimentar un formulario oficial) y Qué notificar (Nombre y Datos DPD: el Tipo de brecha; Datos afectados; Posibles consecuencias; Medidas adoptadas ante la brecha y las Medidas adoptadas ante efectos negativos).
    • INFORMAR A AFECTADOS: Quién lo debe hacer (el Delegado de Protección de Datos); Cuándo (en cuanto se sabe que existe la brecha de seguridad, el incidente); Cómo (mediante un canal de comunicación que permita informar a todos. Por ejemplo, a través de email); Qué notificar (Nombre y Datos DPD: el Tipo de brecha; Datos afectados; Posibles consecuencias; Medidas adoptadas ante la brecha y las Medidas adoptadas ante efectos negativos).

 

    • COMUNICACIÓN PÚBLICA: Deber de hacerse una comunicación pública de lo ocurrido, no solo a los afectados, cuando no se sabe a cuántos afectan las incidencias o fugas de seguridad de los datos. Quién lo debe hacer (La empresa); Cuándo (en cuanto se sabe que existe la brecha de seguridad, el incidente); Cómo (a través de medios corporativos); Qué notificar (Exposición hechos).

No hay que tener miedo a informar sobre una brecha de seguridad o confesar que se ha sido víctima de un ciberataque, impacta más en la reputación ocultar hechos y enterarse por terceros. Hay que ser transparente.

Comunicación email de Air Europa a sus clientes para informar de la brecha de seguridad sufrida.

3. Demostrar ser diligente en la gestión

El manejo de la reputación siempre debe ser estratégico. El hacer y el comunicar deben estar alineados y cuando no es así se agravan los problemas por las diferencias interna de gestión. Cuando la confianza se pone a prueba, en ese “momento de la verdad”, como es ante delitos cibernéticos, el manejo adecuado de la comunicación es crucial para demostrar el nivel de diligencia de manera fehaciente.

Una actuación diligente en el cuidado de la información de una empresa, sea en materia de protección de datos o de información confidencial, es un valor positivo en la reputación de la empresa. Ocultar un ciberincidente nos va a perjudicar más que comunicarlo. En protección de datos se tiene en cuenta como diligencia si la empresa comunica los incidentes que ha tenido y ello puede hacer la sanción más leve.

Una respuesta rápida y efectiva es un aspecto crítico. Y la falta de comunicación puede complicar las ciberamenazas. Hay que ser diligente. Hay que poner mucho interés, esmero, rapidez y eficacia en la realización de todo lo necesario para paliar y corregir el ciberataque y en el cumplimiento de las obligaciones que marquen las normas regulatorias del país. Hay que hacer visible esa diligencia contando qué se hace en la respuesta al incidente, la recuperación de los datos y el ejercicio de la responsabilidad. Sin una comunicación ágil, rápida y clara tras un ciberataque, los empleados y los clientes serán vulnerables.

Recuerda siempre que no existe la “buena suerte” en la gestión de una crisis y sí la preparación y la buena comunicación como herramienta estratégica indispensable para preservar el valioso capital de la reputación.

Artículos relacionados

Si te ha gustado este artículo también te puede interesar

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¿Quieres recibir las últimas noticias?

Suscríbete a este blog