Comunicación de crisis de ciberseguridad: qué hacer

Autores

Jennifer Gregory

Cybersecurity Writer

Los expertos en ciberseguridad dicen a las organizaciones que la pregunta no es si se convertirán en el objetivo de un ciberataque, sino cuándo. A menudo, el enfoque de la preparación para la respuesta se centra en los aspectos técnicos: cómo evitar que la vulneración continúe, recuperar datos y volver a poner el negocio en línea. Aunque estas tareas son críticas, muchas organizaciones pasan por alto una parte clave de la preparación de respuesta: la comunicación en caso de crisis.

Dado que la reputación de una marca suele verse afectada, un ciberataque puede afectar significativamente al éxito y los ingresos futuros de la empresa. Sin embargo, una comunicación de crisis eficaz ayuda a aumentar la confianza de los clientes en la capacidad de su empresa para recuperarse y gestionar el problema. Al prepararse para la comunicación de crisis antes de un incidente y luego seguir un plan sólido, puede guiar a su organización a través de la tormenta.

Cómo planificar su comunicación de crisis de ciberseguridad

El éxito de la comunicación de crisis comienza mucho antes de que comience cualquier incidente de ciberseguridad. Algunas empresas incluyen la comunicación de crisis de ciberseguridad como parte de su plan general de recuperación ante desastres, mientras que otras empresas tienen un plan independiente.

Melanie Ensign es la fundadora y CEO de Discernible, un centro de excelencia de comunicaciones multidisciplinar para equipos de seguridad, privacidad y riesgo. Ensign afirma que muchas empresas descuidan la seguridad hasta que algo sale mal y entonces intentan ganarse el beneficio de la duda en un entorno desfavorable.

"Cuando trabajo con clientes, les pregunto: si mañana ocurriera algo, ¿qué les gustaría poder decir?, ¿Qué desearía que fuera cierto, que podría decir en respuesta a este incidente? dice Ensign. "Me dicen cómo quieren mostrarse como empresa, qué valores y características quieren expresar. Luego trabajamos para hacer realidad todas esas cosas porque si no es verdad, no podemos decirlo".

He aquí tres claves para sentar las bases necesarias para gestionar con éxito una crisis.

Boletín del sector

Las últimas novedades sobre tecnología, respaldadas por conocimientos de expertos

Manténgase al día sobre las tendencias más importantes e intrigantes del sector en materia de IA, automatización, datos y mucho más con el boletín Think. Consulte la Declaración de privacidad de IBM.

¡Gracias! Está suscrito.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

1. Crear un comité de comunicación de crisis

Disponga de un equipo de empleados responsables de colaborar en toda la organización y gestionar todas las comunicaciones cuando se produzca un ataque. Esto garantiza que la comunicación no se pase por alto y reduce la propagación de desinformación. Cree un equipo que incluya a miembros de toda la organización implicados en la ciberrespuesta, como el departamento legal, la ciberseguridad, la dirección general y las relaciones públicas.

Mixture of Experts | 28 de agosto, episodio 70

Descifrar la IA: resumen semanal de noticias

Únase a nuestro panel de ingenieros, investigadores, responsables de producto y otros profesionales de talla mundial que se abren paso entre el bullicio de la IA para ofrecerle las últimas noticias y conocimientos al respecto.
Ver los últimos episodios del pódcast

2. Cree un plan de comunicación de crisis

Una vez formado el comité, una de las primeras prioridades es detallar todas las tareas y determinar quién será la parte responsable de todas las comunicaciones tras un incidente de ciberseguridad. Ensign dice que es importante que todos los ejecutivos clave que toman las decisiones estén de acuerdo de antemano, o es probable que elaboren su propio plan una vez que se sientan incómodos durante el incidente. También afirma que es esencial contar con un plan que sirva de guía de estrategias en caso de que una persona clave encargada de la toma de decisiones no esté disponible durante un ataque, de modo que otro líder pueda sustituirla fácilmente.

Dado que los ciberataques pueden implicar muchos esquemas diferentes, desde ransomware hasta vulneraciones de datos, el plan debe identificar tantos escenarios como sea posible y, a continuación, detallar un borrador adecuado para cada uno de ellos. El plan también debe incluir puntos de comunicación con otros departamentos, así como los canales utilizados, incluidos el correo electrónico, el sitio web y las redes sociales.

"Debe poder demostrar a los reguladores que tenía un plan y que lo siguió. A veces, es posible que deba desviarse del plan. Aprendemos cosas a través de incidentes en los que necesitamos modificar nuestro plan porque esto no era exactamente lo que necesitábamos que fuera y un plan ayuda a justificar todas esas desviaciones", dice Ensign.

3. Realizar simulaciones de vulneraciones para todo el equipo

Aunque muchas organizaciones ensayan la respuesta cibernética con el equipo técnico, también debe incluir la comunicación de crisis como parte de la simulación. Dado que un ataque real es muy estresante para todos los miembros de la organización, así como para las partes interesadas externas, practicar la respuesta reduce la tensión, la ansiedad y los posibles errores.

Qué hacer durante una crisis de ciberseguridad

Una vez que se identifica un ataque de ciberseguridad, es hora de poner en marcha su plan de comunicación de crisis. Dado que las situaciones reales suelen variar de los planes y las emociones son altas, es vital tener en cuenta lo siguiente en cada paso.

1. Comuníquese rápidamente y con la mayor transparencia posible

Cuanto más rápido se comunique, menos rumores y especulaciones aparecerán. En cuanto tenga información básica sobre el ataque y el impacto, comparta una declaración inicial que explique claramente lo sucedido y cualquier cambio en los procesos empresariales. Si el ataque se debió a un error de un empleado o de la empresa, asuma la responsabilidad. Explique cómo comunicará la empresa las actualizaciones, por ejemplo, a través de las redes sociales o una página web dedicada, así como un calendario para futuras actualizaciones. La primera comunicación también debe incluir cualquier paso que deban tomar las personas potencialmente afectadas, como cambiar contraseñas o monitorizar sus cuentas.

2. Establezca un proceso para que los consumidores obtengan información adicional

Informe a los clientes afectados cómo obtener información adicional para su situación específica, como una línea telefónica directa o un correo electrónico dedicado. Asegúrese de que estos canales se controlen continuamente y de que las preguntas se respondan rápidamente. Tras la reciente vulneración de Change Healthcare, la empresa creó un sitio web dedicado a la información que también incluía una línea telefónica directa.

3. Actualice la comunicación con regularidad

Dado que un ciberataque es una situación en evolución, puede recuperar la confianza manteniendo un contacto regular con todas las partes afectadas. Al proporcionar actualizaciones, hace saber a los clientes que se está tomando la situación en serio y que está tomando medidas. Change Healthcare creó una página web detallada que proporcionaba el estado de todas las funciones empresariales, así como la fecha prevista de restauración de cada una, que se actualizaba diariamente durante el apogeo de la recuperación.

"Sus clientes y las personas afectadas por el incidente se preocuparán por él mucho más tiempo que los medios de comunicación", dice Ensign. "El hecho de que ya no aparezca en los medios de comunicación no significa que no sea importante continuar la comunicación.

4. Comparta cómo la organización reducirá el riesgo en el futuro

Tras el ataque a SolarWinds, la empresa contrató a Alex Stamos, exjefe de seguridad de Facebook y Yahoo y actual profesor de la Universidad de Stanford, y a Chris Krebs, exdirector de la Agencia de Seguridad de Infraestructuras y Ciberseguridad (CISA), como consultores independientes para la recuperación de SolarWinds, lo que mejoró la confianza en la futura ciberseguridad de la organización. SolarWinds también realizó cambios significativos en sus capas de seguridad para reducir el riesgo futuro, que comunicaron al público.

Disponer de un plan de comunicación

Un ciberataque contiene muchas incógnitas y es una situación compleja. Al tener listo un plan sólido y un equipo para gestionar las comunicaciones, puede realizar cambios fácilmente en función de la situación específica. Con una comunicación de crisis eficaz, su empresa puede llegar al otro lado de un ciberataque con aún más confianza de sus clientes en función de su respuesta y comunicación.

"Es importante contar con todos los planes de comunicación, programas, activos, material y relaciones antes de que suceda algo", dice Ensign. "Cuando llegue ese día, porque todos sabemos que ese día llegará, tendrá todas esas cosas a su disposición y podrá mostrarse tal y como quiere".

Los consultores de IBM® X-Force Cyber Crisis Management pueden ayudar a los equipos de comunicaciones a crear una guía de estrategias de comunicación de crisis personalizada y sólida, adaptada para responder a los principales ciberataques y a las preferencias de escenarios de su empresa. El equipo puede ayudar a integrar el flujo de comunicaciones en su plan de cibercrisis, o mejorar los planes obsoletos y asegurar que cumplan con los estándares actuales de los sectores. Además, los consultores de gestión de cibercrisis de X-Force pueden ejecutar una simulación inmersiva que incluirá a su equipo de comunicaciones, lo que ayudará a crear memoria muscular antes de cualquier posible crisis cibernética.

Para obtener más información sobre nuestros servicios de gestión de cibercrisis, haga clic aquí.

Ahora que hemos discutido qué hacer con respecto a la comunicación en una crisis, consulte nuestra próxima historia de esta serie, Comunicación de crisis: qué NO hacer.
Soluciones relacionadas
Soluciones de seguridad para la empresa

Transforme su programa de seguridad con las soluciones del mayor proveedor de seguridad empresarial.

 Explore las soluciones de ciberseguridad
Servicios de ciberseguridad

Transforme su negocio y gestione el riesgo con servicios de consultoría de ciberseguridad, nube y seguridad gestionada.

         Explore los servicios de ciberseguridad
    Ciberseguridad de la inteligencia artificial (IA)

    Mejore la velocidad, la precisión y la productividad de los equipos de seguridad con soluciones de ciberseguridad basadas en IA.

         Explore la ciberseguridad de la IA
    Dé el siguiente paso

    Tanto si necesita soluciones de seguridad de datos, de gestión de endpoints o de gestión de identidades y accesos (IAM), nuestros expertos están dispuestos a trabajar con usted para lograr una posición de seguridad sólida. Transforme su empresa y gestione los riesgos con un líder de la industria mundial mundial en consultoría de ciberseguridad, cloud y servicios de seguridad gestionados.

         Explore las soluciones de ciberseguridad Descubra los servicios de ciberseguridad