El desafío de gestionar una crisis de reputación por un ciberataque

Estar preparada una organización para abordar potenciales crisis por ciberseguridad es hoy un desafío que debe contemplarse atendiendo su dimensión reputacional. Esto supone incluir la comunicación tanto en la prevención como al planificar su gestión. No hacerlo supone una clara desventaja de management a la que se enfrenta la alta dirección en una crisis de este tipo. A continuación vas a conocer las claves para un abordaje integral de la ciberseguridad para mitigar con éxito los efectos adversos de una cibercrisis.

Vivimos en plena transformación digital de las organizaciones y en una economía digital. La interconexión es global y existe una dependencia tecnológica para progresar. La digitalización tiene una cara A de progreso, vinculada a todas sus ventajas y oportunidades, y una cara B de amenaza, ligada a los ciberriesgos y vulnerabilidades. Este escenario desafiante de adaptación a la innovación tecnológica es igual para todo tipo de empresas, públicas y privadas, sea cual sea su tamaño, el tipo de actividad y sector. De multinacionales a pymes, todas las compañías están expuestas al amplio porfolio de delitos cibernéticos.

La reputación empresarial debe protegerse ante estos ciberdesafíos. La ciberseguridad es un asunto prioritario, tanto por continuidad de negocio como por mantener la confianza de todos los grupos de interés que forman parte de la cadena de valor de una organización. Esta confianza está ligada a la capacidad y responsabilidad a la hora de proteger tanto los sistemas como los datos propios y los de terceros ante las crecientes amenazas cibernéticas.

España: uno de los países del mundo más ciberatacado

El riesgo de sufrir pérdidas cuantiosas debido a los ataques cibernéticos está aumentando. Los ataques cibernéticos se han multiplicado por más de dos desde la pandemia. El avance del ciberriesgo, a corto y largo plazo, es exponencial en su evolución y ahí están los datos de numerosos informes como, por ejemplo, el último del Foro Económico de Davos que sitúa en los próximos dos años los riesgos de ciberseguridad en el cuarto lugar del top diez.

Según los últimos datos del INCIBE, el Instituto Nacional de Ciberseguridad, el 71% de las empresas en España han sido afectadas por algún tipo de ciberataque, la mayoría pymes. España figura entre los países con mayor registro de delitos cibernéticos, con un promedio de 1.250 ataques semanales. Por sectores el financiero se encuentra particularmente muy expuesto al riesgo cibernético, es un blanco muy atractivo para los ciberdelincuentes. Hace unos días el Fondo Monetario Internacional (FMI) alertaba de ello y que recibe uno de cada 5 ciberataques.

Como alerta el Informe de Ciberpreparación de Hiscox 2023 ser una empresa pequeña no implica ser invisible a los ojos de los ciberdelincuentes. El informe señala que el 35,6% de las pymes españolas fueron ciberatacadas y de ellas un tercio (28%) vio dañada su reputación de marca tras el ciberataque, un 26% encontró una mayor dificultad para atraer a nuevos clientes, un 23% perdió clientes y un 14% perdió partners de negocio.

Cada día más y más redes digitales se interconectan a miles de millones de dispositivos en la industria, la sanidad o el transporte. Además, el ciberespacio es el campo de batalla de objetivos políticos. Ya se está alertando que los ciberataques con inteligencia artificial (IA)  suponen un nuevo riesgo de alcance imprevisible. Todo se puede imitar, la voz, la imagen, la escritura… con el fin de engañar y suplantar identidades. La IA potencia las ciberamenazas.

Entre las tendencias para 2024, el Cyber Threat Intelligence Report de S2Grupo destaca que el ransomware (un software que secuestra datos para pedir un rescate por ellos) seguirá representando una de las mayores amenazas cibernéticas, especialmente para el tejido industrial compuesto en su mayoría por pequeñas y medianas empresas. El informe dice que se espera que a lo largo del año “surjan nuevos grupos de Ransomware as a Service como consecuencia del desarrollo de nuevos artefactos de ransomware creados a partir de filtraciones de las capacidades y código de otros grupos de RaaS”.

Tendencias para 2024 del Informe Cyber Threat Intelligence Report de S2Grupo.

El papel clave de los directivos en la cultura preventiva

Las amenazas cibernéticas evolucionan rápidamente, son cada vez más sofisticadas y variadas en su complejidad y están en transformación constante. Es cuestión de tiempo que una empresa las sufra o que se sea reincidente. Sin embargo, sigue faltando conciencia de ciberseguridad ¿Qué pueden hacer las organizaciones para protegerse? ¿Se puede tener capacidad de ir por delante de los ciberdelincuentes?

La 26ª Encuesta Mundial de CEOs de Price Waterhouse Cooper apunta que es necesario movilizar a la alta dirección. Los CEOs desempeñan un papel fundamental a la hora de anticiparse a los retos relacionados con la ciberseguridad, desde hablar en público sobre su compromiso hasta utilizar su influencia para inspirar cambios radicales y crear un frente común contra los ciberataques. Además, el informe Digital Trust Survey 2023 de PwC revela que uno de los factores que más contribuyen a mejorar la ciberseguridad en las grandes empresas, mitigar los riesgos y sacar el máximo partido de las inversiones es la implicación de la alta dirección.

En los últimos meses he tenido la oportunidad de dar varias charlas sobre las claves para el manejo de la comunicación ante ciberataques a distintos grupos dentro del programa Generación Digital Pymes para personas de equipos directivos de IMPULSO DIGITAL – Transformación Digital en las Pymes. Estos directivos, inmersos en la transformación digital de sus organizaciones, han coincidido en corroborar sus dificultades para abordar la ciberseguridad y la ausencia de visión estratégica de la comunicación como herramienta de gestión y su falta de medios.

El nuevo espacio digital y sus vulnerabilidades requiere innovar en la manera de enfocar la ciberseguridad en las organizaciones: debe ser transversal, multidisciplinar e incluir crear una cultura preventiva. Antes de que los riesgos sean amenazas y estas den lugar a crisis, una organización debe pensar, parar y reflexionar. La prevención (y en este caso la específica en ciberseguridad) necesita equilibrar la parte tecnológica y la de las personas; pasa por pensar y poner en común para razonar y concluir con visión de equipo los próximos pasos.

Reducir este riesgo reputacional implica invertir en ciberseguridad, no solo en tecnología, (que suele ser un error frecuente), si no también en aquellas prácticas que permitan mitigar dicho riesgo. Esto supone que desde la prevención debe trabajarse en concienciar y formar a los empleados en ciberseguridad, en hacer auditorías específicas de este tipo de riesgos, en tener una metodología práctica de respuesta y entrenarse con simulacros.

Si una organización quiere avanzar y generar una cultura de la ciberseguridad debe de invertir y trabajar en tres frentes: tecnología, personas y procesos, con cuya suma irá haciendo ganar a las empresas en capacidad de anticipación, de mitigar y de ser resilente. Y los tres frente son importantes. Como he comentado antes, es un error centrarse en blindarse desde la parte tecnológica y no prestar la importancia y recursos que se necesitan en la concienciación y entrenamiento de las personas. Los principales errores que se repiten en las empresas y en especial en las pymes suelen ser:

• Primer error: Tecnología – Foco solo en la parte técnica, en los recursos tecnológicos.

• Segundo error: Personas – No invertir en prevención para generar una cultura interna de la ciberseguridad.

• Tercer error: Dirección – Poca implicación de la alta dirección y no valorar el aspecto clave de la comunicación en la estrategia gestión.

Cómo mejorar la ciberseguridad, preservar la confianza y la reputación

Nuestra información, nuestros datos es hoy día lo más preciado. Así es valorado y así es exigido en la cadena de valor. Si dichos datos e información no se custodian adecuadamente, si existen amenazas que los ponen en riesgo o situaciones en donde ya han sido vulnerados nos van a exigir responsabilidades. Y uno de los efectos es la pérdida de confianza. Piensa un momento, cómo te tomarías saber que tus datos han sido expuestos por una brecha de seguridad. ¿Cómo reaccionarías? ¿Cómo reaccionarían los clientes de un producto o un servicio si eso les ocurre?

No es suficiente adoptar un posicionamiento reactivo ante situaciones tan complejas como los ciberataques y aquellos que específicamente implican una brecha de seguridad para los datos. Se requiere proactividad en la prevención, en divulgar conocimiento para internamente ganar en resilencia y situar la comunicación en el lugar clave que le corresponde en la parte preventiva y para reducir tanto el riesgo como el daño si se producen los ciberataques.

Estas son diez recomendaciones que conviene tener presente ante este tipo de amenazas:

1. Ninguna compañía, organización o ciudadano está exento de recibir un ciberataque.

2. El enfoque estratégico en las empresas debe ser proactivo y partiendo de la base de que hay que invertir en ciberseguridad: en la tecnología y en los procedimientos preventivos y de mitigación.

3. Debe existir un Plan de Contingencia y esta defensa debe contemplar la comunicación para sofocar el daño reputacional.

4. El riesgo reputacional en ciberataques es muy alto por la potencial pérdida de confianza ante el hecho y por la desinformación que se genera entorno a lo ocurrido.

5. Hay que fortalecer la conciencia de ciberseguridad dentro de una compañía. La formación y concienciación en ciberseguridad de todos los empleados es fundamental y debe ser una prioridad para las empresas. Según un informe elaborado por PwC España, el 86 % de las organizaciones españolas considera que sus empleados carecen de una cultura de ciberseguridad acorde a las necesidades.

6. Imprescindible una mentalidad colaborativa en materia de ciberseguridad y entrenar la capacidad de coordinación entre equipos multidisciplinares (legal, IT, dirección, comunicación).

7. Informar de manera eficaz y cumpliendo con las exigencias regulatorias no se improvisa.

8. Dar importancia a tener una comunicación efectiva y a la transparencia.

9. Ofrecer información clara y precisa sobre el ciberincidente (lo ocurrido, las medidas para abordarlo y para prevenir que vuelva a ocurrir). Nunca hay que olvidar que este tipo de amenazas siempre generan mucha incertidumbre y desinformación.

10. Ocultar sufrir un ciberataque no es buena idea en un mundo donde ya no hay secretos por vivir en sociedades hiperconectadas y que demandan hipertransparencia donde la capacidad de influencia digital es un elemento determinante.