Comunicación sobre una crisis de ciberseguridad: qué hacer

Autores

Jennifer Gregory

Cybersecurity Writer

Los expertos en ciberseguridad dicen a las organizaciones que la pregunta no es si se convertirán en el objetivo de un ataque cibernético, sino cuándo. A menudo, el enfoque de la preparación para la respuesta se centra en los aspectos técnicos: cómo evitar que la filtración continúe, recuperar datos y volver a poner el negocio en línea. Si bien estas tareas son críticas, muchas organizaciones pasan por alto una parte crucial de la preparación para la respuesta: la comunicación sobre la crisis.

Debido a que la reputación de una marca a menudo recibe un golpe significativo, un ataque cibernético puede afectar significativamente el éxito y los ingresos futuros de la empresa. Sin embargo, una comunicación sobre la crisis eficaz ayuda a aumentar la confianza del cliente en la capacidad de su empresa para recuperarse y gestionar el problema. Al prepararse para la comunicación sobre la crisis antes de un incidente y luego seguir un plan sólido, puede guiar a su organización a través de la tormenta.

Cómo planificar su comunicación sobre una crisis de ciberseguridad

Una comunicación exitosa sobre una crisis comienza mucho antes de que inicie cualquier incidente de ciberseguridad. Algunas empresas incluyen la comunicación sobre una crisis de ciberseguridad como parte de su plan general de recuperación ante desastres, mientras que otras tienen un plan independiente.

Melanie Ensign es la fundadora y directora ejecutiva (CEO) de Discernible, un centro de excelencia de comunicaciones para equipos de seguridad, privacidad y riesgo. Ensign opina que muchas empresas confían en su seguridad hasta que algo sale mal y luego intentan que se les otorgue el beneficio de la duda en un entorno desfavorable.

“Cuando trabajo con clientes, les pregunto: 'si algo sucediera mañana, ¿qué les gustaría poder decir?' ¿qué desearían que fuera cierto, ¿qué podrían decir en respuesta a este incidente?' comenta Ensign. “Me dicen cómo quieren presentarse como empresa, qué valores y características quieren expresar. Luego trabajamos para hacer que todas esas cosas sean ciertas porque, si no lo son, no podemos decirlo”.

A continuación aparecen tres claves para construir la base necesaria para gestionar con éxito una crisis.

Boletín de la industria

Las últimas noticias tecnológicas, respaldadas por los insights de expertos

Manténgase al día sobre las tendencias más importantes e intrigantes de la industria sobre IA, automatización, datos y más con el boletín Think. Consulte la Declaración de privacidad de IBM.

¡Gracias! Ya está suscrito.

Su suscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

1. Crear un comité de comunicación sobre la crisis

Tenga un equipo de empleados responsables de colaborar en toda la organización y gestionar todas las comunicaciones cuando se produzca un ataque. Esto garantiza que la comunicación no se pase por alto y reduce la propagación de desinformación. Cree un equipo que incluya miembros de toda la organización involucrados en la respuesta cibernética, como legal, ciberseguridad, administración general y relaciones públicas.

Mixture of Experts | 28 de agosto, episodio 70

Decodificación de la IA: Resumen semanal de noticias

Únase a nuestro panel de ingenieros, investigadores, responsables de producto y otros profesionales de talla mundial que se abren paso entre el revuelo de la IA para ofrecerle las últimas noticias e insights al respecto.
Vea los últimos episodios de podcasts

2. Crear un plan de comunicación sobre la crisis

Una vez reunido el comité, una de las primeras prioridades es detallar todas las tareas y determinar quién será responsable de todas las comunicaciones después de un incidente de ciberseguridad. Ensign señala que es importante que todos los ejecutivos clave que toman las decisiones estén de acuerdo de antemano, o es probable que elaboren su propio plan una vez que se sientan incómodos durante el incidente. También menciona que un plan es esencial para proporcionar un playbook en caso de que un responsable clave de la toma de decisiones no esté disponible durante un ataque, para que entonces otro líder pueda reemplazarlo fácilmente.

Debido a que los ciberataques pueden involucrar muchos esquemas diferentes, desde ransomware hasta filtraciones de datos, el plan debe identificar tantos escenarios como sea posible y luego detallar un borrador apropiado para cada uno de ellos. El plan también debe incluir puntos de comunicación con otros departamentos, así como los canales que se utilizarán, incluidos el correo electrónico, el sitio web y las redes sociales.

“Debes poder demostrar a los reguladores que tenías un plan y que lo seguiste. A veces, es posible que debas desviarte del plan. Aprendemos cosas a través de incidentes en los que necesitamos ajustar nuestro plan porque eso no era exactamente lo que necesitábamos y un plan ayuda a justificar todas esas desviaciones”, sostiene Ensign.

3. Realizar simulaciones de filtraciones para todo el equipo

Si bien muchas organizaciones ensayan la respuesta cibernética con el equipo técnico, también debe incluir la comunicación sobre la crisis como parte de la simulación. Debido a que un ataque real es muy estresante para todos en la organización, así como para los stakeholders externos, practicar la respuesta reduce la tensión, la ansiedad y los posibles errores.

Qué hacer durante una crisis de ciberseguridad

Una vez que se identifica un ataque de ciberseguridad, es hora de poner en marcha su plan de comunicación sobre la crisis. Debido a que las situaciones reales a menudo difieren de los planes y las emociones están a flor de piel, es vital tener en cuenta lo siguiente en cada paso.

1. Comuníquese rápidamente y con la mayor transparencia posible

Cuanto más rápido se comunique, menos rumores y especulaciones aparecerán. Tan pronto como tenga información básica sobre el ataque y el impacto, comparta una declaración inicial que explique claramente lo que sucedió y cualquier cambio en los procesos de negocio. Si el ataque se debió a un error de un empleado o de la empresa, asuma la responsabilidad. Explique cómo la empresa comunicará las actualizaciones, por ejemplo, a través de las redes sociales o una página web dedicada, así como un cronograma para futuras actualizaciones. La primera comunicación también debe incluir cualquier paso que deban tomar las personas potencialmente afectadas, como cambiar contraseñas o monitorear sus cuentas.

2. Establezca un proceso para que los consumidores obtengan información adicional

Informe a los clientes afectados cómo obtener información adicional para su situación específica, como una línea telefónica directa o un correo electrónico dedicado. Asegúrese de que estos canales se supervisen de manera continua y que las preguntas se respondan rápidamente. Después de la reciente filtración de Change Healthcare, la empresa creó un sitio web dedicado para obtener información que también incluía una línea telefónica directa.

3. Actualice la comunicación con regularidad

Debido a que un ataque cibernético es una situación en evolución, puede reconstruir la confianza manteniéndose en contacto regular con todas las partes afectadas. Al proporcionar actualizaciones, les hace saber a los clientes que se está tomando la situación en serio y que está actuando en consecuencia. Change Healthcare creó una página web detallada que proporcionaba el estado de todas las funciones comerciales, así como la fecha de restauración prevista de cada una, que se actualizaba diariamente durante el apogeo de la recuperación.

“Sus clientes y las personas afectadas por el incidente se preocuparán por él mucho más tiempo que los medios de comunicación”, comenta Ensign. “El hecho de que ya no esté en los medios no significa que no sea importante continuar la comunicación.

4. Comparta cómo reducirá la organización el riesgo en el futuro

Después del ataque a SolarWinds, la empresa contrató a Alex Stamos, exjefe de seguridad de Facebook y Yahoo y actual profesor de la Universidad de Stanford, y a Chris Krebs, exdirector de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), como consultores independientes para la recuperación de SolarWinds, lo que mejoró la confianza en la ciberseguridad futura de la organización. SolarWinds también realizó cambios significativos en sus capas de seguridad para reducir el riesgo futuro, y los comunicó al público.

Tenga un plan de comunicación establecido

Un ataque cibernético contiene muchas incógnitas y es una situación compleja. Al tener listo un plan sólido y un equipo para gestionar las comunicaciones, puede realizar cambios fácilmente en función de la situación específica. Con una comunicación eficaz sobre una crisis, su empresa puede sobrepasar el ataque cibernético con aún más confianza por parte de sus clientes en función de su respuesta y comunicación.

"Es importante contar con todos los planes de comunicación, programas, activos, material y relaciones antes de que algo suceda", dice Ensign. “Cuando llegue ese día, porque todos sabemos que ese día llegará, tienes todas esas cosas a tu disposición y puedes aparecer de la manera que quieras”.

Los consultores de IBM X-Force Cyber Crisis Management pueden ayudar a los equipos de comunicaciones a crear un playbook de comunicaciones sobre crisis personalizado y sólido, adaptado para responder a los principales ciberataques y a las preferencias de escenarios de su empresa. El equipo puede ayudar a integrar el flujo de comunicaciones en su plan de crisis cibernética, o actualizar los planes obsoletos y garantizar que cumplan con los estándares actuales de la industria. Además, los consultores de X-Force Cyber Crisis Management pueden ejecutar una simulación inmersiva que incluirá a su equipo de comunicaciones, lo que ayudará a tener práctica antes de cualquier posible crisis cibernética.

Para aprender más sobre nuestros servicios de gestión de crisis cibernéticas, haga clic aquí.

Ahora que hemos discutido qué hacer con respecto a la comunicación en una crisis, consulte nuestra próxima historia de esta serie, Comunicación de crisis: qué NO hacer.
Soluciones relacionadas
Soluciones de seguridad empresarial

Transforme su programa de seguridad con las soluciones del mayor proveedor de seguridad empresarial.

 Explore las soluciones de ciberseguridad
Servicios de Ciberseguridad

Transforme su negocio y gestione el riesgo con servicios de consultoría de ciberseguridad, nube y seguridad gestionada.

         Explore los servicios de ciberseguridad
    Ciberseguridad de la inteligencia artificial (IA)

    Aumente la velocidad, precisión y productividad de los equipos de seguridad con soluciones cibernéticas potenciadas por IA.

         Explorar la ciberseguridad de IA
    Dé el siguiente paso

    Ya sea que necesite una solución de seguridad de datos, gestión de endpoints o gestión de identidad y acceso (IAM), nuestros expertos están listos para trabajar con usted para lograr una postura de seguridad sólida. Transforme su negocio y gestione el riesgo con un líder global del sector en servicios de consultoría de ciberseguridad, en la nube y de seguridad gestionada.

         Explore las soluciones de ciberseguridad Descubrir los servicios de ciberseguridad