La gestión de un ciberataque debe contar con un plan de comunicación

El pasado mes de septiembre, una joven empleada de una compañía tecnológica que un par de años antes había sufrido un grave ciberataque, anunciaba en su cuenta de Tik Tok que la empresa acababa de ser víctima de un incidente de seguridad provocado por un ransomware que, supuestamente, habría vuelto a afectar a los sistemas de la entidad, y que, derivado de ello, les habían dado instrucciones de desconectar sus ordenadores de inmediato.

Al saltar la noticia en redes sociales, todos los foros especializados en ciberseguridad se hicieron eco de ella, lo que provocó que muchas de las empresas proveedoras de la compañía, siguiendo sus protocolos de seguridad, se apresuraran a desconectar sus VPN de los sistemas de su cliente, ante el temor a que el supuesto malware se expandiera también por sus redes.

Poco tiempo después, la misma empleada matizaba su mensaje inicial, reconociendo su error, y señalaba que simplemente se había tratado de uno de los simulacros que, periódicamente, la empresa pone en marcha dentro de su plan de promoción de la cultura de ciberseguridad para empleados.

Sin embargo, ya era demasiado tarde, y todas las alarmas habían saltado, hasta el punto de que las acciones de la compañía parecieron sufrir un claro descenso ante la pérdida de confianza que tal situación había provocado en el mercado inversor.

“Aunque la empresa no confirme ni desmienta oficialmente la veracidad de la noticia, la viralidad del mensaje hará que éste se difunda a gran velocidad, provocando una crisis de comunicación que cualquier empresa debe estar preparada para afrontar de manera inmediata. Este caso nos recuerda la fragilidad de todo el sistema de ciberseguridad, donde cualquier elemento imprevisto, como es la revelación de información por parte de un empleado a través de sus redes sociales, puede poner en jaque a toda la organización”, recuerda Francisco Pérez Bes, socio de Derecho digital en Ecix Group y antiguo Secretario General del Instituto Nacional de Ciberseguridad de España (Incibe), quien fue testigo de las crisis de comunicación en grandes empresas de este país causadas por el virus wannacry en el año 2017. “Y es que, en la gestión de cualquier incidente de ciberseguridad, las empresas deben comprender que tan importante es la gestión técnica del ataque como la gestión jurídica y de comunicación”, añade este experto, quien a su vez coordina el área jurídica de la Liga Nacional de Ciberseguridad (NCL3), liderada por la guardia Civil, donde se conjuga esta visión multidisciplinar de la seguridad en la gestión de ciberincidentes a la hora de formar a los futuros profesionales.

Situaciones de este tipo nos obligan a reflexionar acerca de aspectos que habitualmente no suelen abordarse durante el anuncio de una crisis derivada de un incidente de ciberseguridad, como son, en primer lugar, el de la reacción de los empleados de la empresa ante la notificación de algún tipo de situación, real o no, ya que lo probable será que se precipiten y difundan públicamente la existencia de una supuesta crisis, actuando como whistleblowers improvisados e impidiendo al departamento de comunicación interna, entre otros, hacer su trabajo de manera apropiada.

En segundo lugar, la reacción que tales mensajes pueden provocar en proveedores, clientes y otros integrantes de la cadena de suministro de la empresa, quienes deberán tener bien procedimentado cómo actuar ante una situación de crisis y qué canales son los adecuados para comunicarse de manera adecuada con la empresa afectada durante la gestión del incidente.

Y, por ultimo, saber gestionar bien la comunicación hacia el exterior, con tal de evitar los efectos adversos que puede provocar una noticia relacionada con un ciberataque en la reputación de la empresa y en la confianza del mercado en aquellas, lo que -como en el caso expuesto- puede tener un impacto imprevisible en el valor de cotización de las acciones de la compañía, aunque sea puntualmente.

Así las cosas, concluye Pérez Bes, a la complejidad de la gestión de un incidente de ciberseguridad hay que prever la dificultad que añaden otros aspectos, lo que obliga a las empresas a formar y a organizar bien sus recursos, y a coordinar sus actuaciones en una situación de gran tensión para toda la organización. De nuevo, disponer de políticas y procedimientos para la gestión de riesgos ciber es importante, pero lo es más comprobar periódicamente que se conocen y que funcionarán el día en que tengamos una crisis de verdad.

La Unión Europea desarrolla una nueva estrategia de ciberseguridad que busca avanzar en la protección de las infraestructuras europeas frente a las cada vez mayores y más sofisticadas amenazas cibernéticas. Cada vez es mayor la normativa que obliga a las empresas a velar por su ciberseguridad de una manera eficaz, requiriendo la implantación de medidas preventivas que dificulten o eviten la producción de incidentes de seguridad.

El Consejo de Ministros del 20 de julio formalizó cuatro contratos suscritos con proveedores informáticos, con carácter de emergencia, en relación con la gestión del ransomware sufrido por el Ministerio de Trabajo y Economía Social. El importe de adjudicación de dichos contratos sumaba, en total, un millón de euros.