La temida comprensión de que algo ha sucedido, se ha accedido a datos y ahora hay que contárselo a los clientes y al mundo. Años de arduo trabajo para generar confianza y reputación ahora están en juego en la forma de abordar y comunicar el incidente.
Cuando esto suceda, hay pasos clave que deben tomarse para mantener la confianza y mitigar el daño potencial. Según mi propia experiencia, el elemento número uno es la transparencia. Incluso si no tiene toda la información, reconocer el incidente, aceptar la responsabilidad (al tiempo que muestra empatía de manera crucial) y compartir lo que sabe permite a los clientes y a las autoridades hacer sus propias evaluaciones y brindar asistencia para reducir el riesgo.
Es importante tener claro qué sucedió, qué sistemas se vieron afectados, a qué datos se accedió y qué significa para los clientes. Las investigaciones iniciales son clave para poder articular claramente los detalles a los clientes que puedan verse afectados. El shock inicial de que le digan que ha habido un incidente pronto pone el cerebro del cliente en modo de acción; Qué, cuándo, cómo y quién son preguntas válidas que los clientes tienen en torno a un incidente y poder explicar esos detalles puede brindarle la seguridad de que comprende lo que sucedió y cómo se asegurará de que no vuelva a suceder. Muchos clientes esperarán y solicitarán la participación de un equipo de seguridad cibernética externo independiente para garantizar que el incidente se comprenda y gestione completamente, por lo que contar con un acuerdo es importante para poder recurrir a esa experiencia, mantener la confianza y brindar esa tranquilidad.
Es este compromiso con los clientes y la comunidad lo que permite a las partes interesadas hacer preguntas y poder lidiar con esa afluencia es algo que debería ser parte del plan de comunicación de respuesta a incidentes de cada organización. Quién programa las llamadas, cómo se programan las llamadas, quién atiende las llamadas, quién está autorizado a hacer declaraciones, cómo nos adaptamos las 24 horas del día, los 7 días de la semana, los 365 días del año, todo debe considerarse a medida que se dispone de nueva información o se hacen declaraciones públicas. Compartir actualizaciones periódicas sobre el incidente y la investigación garantiza que una organización pueda controlar la narrativa y explicar las acciones tomadas, los próximos pasos y definir el final del incidente. A menudo, esto puede incluir recomendaciones para los clientes, como compartir IoC, TTP o procesos a seguir para proteger aún más los datos de los clientes. Por el contrario, la falta de información dará lugar a que partes desinformadas formulen hipótesis y propaguen información errónea.
A medida que concluyen el incidente y la investigación, es importante pensar en el cierre del incidente, cuáles son las acciones pendientes y los próximos pasos y cómo comunicamos cualquier actualización adicional en el futuro. Herramientas como la revisión posterior al incidente, las lecciones aprendidas y la incorporación de los cambios necesarios para mejorar continuamente los procesos de comunicación y respuesta a incidentes son pasos vitales para garantizar que se mantengan las mejores prácticas y que los procesos sigan evolucionando.
Según nuestra propia experiencia, aquí es donde nacieron el Proyecto Bedrock y el Compromiso de Identidad Segura de Okta. Mecanismos que nos permitieron definir esas acciones pero, lo que es más importante, cómo nosotros, como empresa, aseguraríamos que nuestro enfoque permanecería, y podría permanecer, en las mejoras definidas y los cambios culturales que necesitábamos realizar.
Es fundamental que aprendamos de cada incidente de seguridad y, si bien ocurrirán incidentes, la forma en que responda la organización será la medida definitoria para los clientes y nuestro éxito.
Stephen McDermid es CSO de EMEA en Okta