¿Cuál sería su reacción al descubrir por fuentes externas que su empresa fue blanco de un ataque cibernético? ¿Y si los sistemas fueran derrumbados porque un cibercriminal pide un rescate de un millón de pesos por los datos críticos robados a la compañía? ¿Usted estaría preparado para lidiar con ese escenario? ¿Sabría cómo comunicar ese incidente? ¿Tendría un plan de comunicación para tratar ese problema?
En este último punto se encuentra el mayor error que veo que las empresas cometen: no tener un plan de comunicación de crisis establecido. Además, un reciente estudio del MIT en sociedad con FireEye y Hewlett Packard Enterprise, que se llevó a cabo con 225 empresas, señaló que el 44% de ellas no tienen un plan de comunicación de crisis vigente y el 15% desconocen la existencia de él en la compañía.
Otro gran error es tener un plan enfocado en otras emergencias que no contemplan el ciberespacio, como incendios o desastres naturales, por ejemplo.
El ciberataque es un asunto muy delicado para discutirse en público, pues existen diversos escenarios y la empresa necesita tener la certeza de quién es el enemigo y el riesgo que está enfrentando.
Los cibercriminales pueden haber conseguido acceso a los datos de funcionarios, clientes y hasta de propiedad intelectual de la empresa.
Incertidumbre ante la notificación de incidentes
Generalmente los ciberataques son reportados por terceros, sorprendiendo a las empresas víctimas, 53% de los incidentes en los que Mandiant (empresa perteneciente al grupo FireEye) participó en 2015 fueron descubiertos por fuentes externas, lo que coloca a la empresa afectada en una situación reactiva y con muchas incertidumbres.
Las brechas de seguridad también suelen ocurrir por largos periodos; en 2015, por ejemplo, el tiempo promedio en que los cibercriminales permanecieron en la red de la víctima sin ser detectados, fue de 146 días, de acuerdo con el reporte M-Trends 2016. Esa demora en detectar la invasión vuelve más difícil controlar la crisis y explicar a los diversos públicos afectados qué aconteció.
Los accionistas, clientes, funcionarios, socios, partes afectadas y medios necesitan ser comunicados pero no se especifica cómo.
Debemos asegurarnos de que recibirán un mensaje asegurándoles que la empresa está resolviendo el incidente y protegiendo los datos, y se deberán también enviar actualizaciones siempre que haya nuevas informaciones para compartir. Recordemos filtrarlas, reportando apenas lo que realmente interesa y no todos los detalles del ataque.
En un momento delicado como éste es crucial contar con el involucramiento de los líderes, pues un ciberataque no es responsabilidad solo del equipo de TI, sino un problema de toda la empresa. Las partes afectadas quieren oír un posicionamiento que venga de la dirección.
Cómo comunicar esto
Para la elaboración de un plan de comunicación efectiva son válidas algunas recomendaciones:
- Establezca el equipo de comunicación de crisis. Seleccione a los profesionales de comunicación, del departamento legal, del equipo de TI y de la dirección que estarán involucrados en el momento. Dependiendo del incidente, considere traer profesionales especializados para ayudar internamente.
- Si su empresa no cuenta con recursos internos para el desarrollo, actualización constante y ejecución de un plan, busque a socios que tengan experiencia en ésta área. Ellos van a desarrollar con usted o para usted, un plan de respuesta a la crisis bien pensado, con diferentes escenarios. En caso de que llegue el momento de crisis, sus portavoces sabrán qué y cómo comunicar.
- Garantice un mensaje unificado. Asegúrese de que todos los portavoces sean igualmente entrenados y dispongan de la misma información. Es importante que ellos hayan recibido el media training antes de la crisis.
- Active canales de comunicación. En caso de que la crisis se vuelva pública provea un website lo más rápido posible y suba las informaciones útiles. Active también canales de atención donde los diversos públicos, como accionistas y medios, puedan hacer preguntas o enviar informaciones.
- La práctica lleva a la perfección, ensaye el plan de crisis para diversos ciberataques con el equipo de comunicación y los portavoces de la dirección una vez por trimestre.
_____________
El autor de este artículo, Vitor de Souza, es Vicepresidente Global de Comunicación de FireEye Inc.
