El 12 de mayo de 2021, la administración Biden dio a conocer una orden ejecutiva para mejorar las defensas de seguridad cibernética de EE. UU. El enfoque tiene como objetivo “mejorar sus esfuerzos para identificar, disuadir, proteger, detectar y responder a estas acciones y actores”.
Esta es una buena noticia, pero desde entonces hemos seguido presenciando ataques debilitantes, desde JBS hasta Kaseya. Las empresas continúan enfrentando amenazas existenciales de ataques cibernéticos y ahora la junta directiva y la alta gerencia se quedan con esta realidad inevitable: no es si, sino cuándo su empresa enfrentará un ataque cibernético.
Y cuando se enfrentan a esa realidad, la junta y la alta dirección se darán cuenta rápidamente de que los ataques cibernéticos son bastante diferentes de otras crisis corporativas, lo que requiere un enfoque pragmático y personalizado para comunicarse con todas las partes interesadas cuando se produce una infracción.
Las preguntas más urgentes que la junta y otros ejecutivos deberían hacerse son:
- En caso de un ciberataque, ¿está la empresa preparada para cumplir con los requisitos de informes reglamentarios?
- ¿Ha pensado en cómo se comunicará con las partes interesadas afectadas en caso de que los canales de comunicación primarios se hayan visto comprometidos en la infracción?
- ¿Cómo debería la empresa responder públicamente sin incitar más a los actores de la amenaza a causar más estragos?
A continuación, se incluyen cinco consejos sobre comunicaciones de crisis que la junta directiva y la alta dirección deben tener en cuenta al pensar en la estrategia general de seguridad cibernética.
1. Asegúrese de que un miembro senior del equipo de comunicaciones sea parte del equipo de respuesta a incidentes cibernéticos
Cada empresa debe tener un equipo de respuesta a incidentes cibernéticos (CIRT o, a veces, CSIRT) con un alto ejecutivo de comunicaciones incluido. Esto ayudará a construir un puente entre TI, legal, la alta gerencia y socios externos, y garantizará que el equipo de comunicaciones tenga acceso oportuno a información precisa a medida que se desarrolle la infracción.
Tener acceso es la mitad de la batalla en una crisis cibernética específica y garantiza revisiones y aprobaciones oportunas de las decisiones y el contenido necesarios para que el equipo se comunique de manera transparente interna y externamente durante todo el evento. Si el CIRT no tiene un papel definido formalmente para un responsable de comunicaciones de alto nivel, la respuesta de comunicaciones de la empresa se verá muy afectada.
2. No incite más a los actores de amenazas con comunicaciones indisciplinadas
Si es miembro de la junta o parte del C-suite de una empresa que se encuentra en medio de un ataque cibernético, especialmente un ataque de ransomware que involucra negociaciones de rescate y datos robados, una de las principales prioridades es asegurarse de que cualquier comunicación sea mesurada y consciente. de demandas específicas.
Cualquier mensaje, ya sea enviado a través de un correo electrónico, un portavoz de la empresa, una publicación en las redes sociales o un comunicado de prensa, debe lograr el equilibrio adecuado para abordar las preocupaciones clave de las partes interesadas sin incitar más a los actores de la amenaza.
Cómo o cuándo se comunica la empresa puede influir en las demandas de rescate, la duración y la gravedad del ataque y la divulgación de información robada que puede tener repercusiones importantes en la reputación de la empresa. Pensar como un actor de amenazas y saber qué los incitará y qué no los incitará más es primordial.
3. Esté siempre al tanto de los requisitos de cumplimiento e informes.
Es fundamental que su director de comunicaciones esté tan bien versado en el cumplimiento de la seguridad cibernética y los requisitos de informes como su director de cumplimiento. Desde empresas que cotizan en bolsa hasta empresas privadas en casi todas las industrias, existe una variedad de requisitos de informes que las empresas deben cumplir y que difieren a nivel mundial.
Por ejemplo, el Reglamento general de protección de datos del Reino Unido exige que las organizaciones que hayan sufrido una violación de datos personales que “probablemente resulte en un alto riesgo para los derechos y libertades de las personas”, los interesados deben ser informados “directamente y sin demoras indebidas”. . Los incidentes notificables también deben ser divulgados a la Oficina del Comisionado de Información dentro de las 72 horas.
Mientras tanto, para aquellos que operan en los EE. UU., Una empresa que cotiza en bolsa está obligada por la Comisión de Bolsa de Valores a presentar un Formulario 8-K para “anunciar eventos importantes que los accionistas deben conocer”. El no hacerlo puede resultar en multas y otras medidas punitivas.
Abundan otros ejemplos. Para las instituciones financieras, si se determina que la información del cliente se usa indebidamente o se viola, deben informar a los reguladores, bajo los auspicios de la Ley Gramm-Leach-Bliley, en un período de tiempo específico. Existen condiciones similares a nivel estatal.
Por ejemplo, las instituciones financieras con sede en Nueva York que experimentan un ataque cibernético deben seguir los protocolos de cumplimiento descritos en el Reglamento de seguridad cibernética del Departamento de Servicios Financieros de Nueva York.
4. La precisión importa más que la velocidad
En medio de un ciberataque, una respuesta lenta e ineficaz podría resultar desastrosa para la reputación de una empresa. La velocidad es importante, pero la información inexacta e incompleta causará más daño. Si la infraestructura de comunicaciones de crisis ya está instalada, combinada con las entidades legales, de cumplimiento, de operaciones y de TI adecuadas, sus posibilidades de comunicarse con precisión están mejor aseguradas.
5. Establecer un sistema de comunicaciones basado en la nube para llegar a las partes interesadas si los canales de comunicación principales se desactivan durante un ciberataque.
Si preside una empresa que utiliza principalmente el correo electrónico para comunicarse con empleados, clientes o cualquier persona, y el correo electrónico no funciona debido al ciberataque, es fundamental contar con canales de comunicación de respaldo para difundir información de manera rápida y eficaz. Las empresas deben considerar plataformas basadas en la nube que fomenten las comunicaciones unidireccionales y bidireccionales que se puedan activar en cualquier momento.
Cuando los canales primarios se apagan, la empresa no puede correr el mismo destino y debe tener canales de respaldo establecidos, para que no pierda el ritmo en el frente de las comunicaciones.
Para la junta y la alta gerencia, los ciberataques representan una forma de crisis ruinosa y de rápido movimiento que pone en peligro a las marcas y las partes interesadas. Y aunque los principios generales de comunicación de crisis tienen relevancia, un ciberataque es una bestia completamente diferente.
Los cinco consejos descritos anteriormente ayudarán a fortalecer el plan de comunicaciones de crisis de una empresa para un ataque cibernético, pero también deben integrarse con una estrategia de seguridad cibernética más amplia. Sin él, las empresas pondrán en peligro su valor, seguridad y reputación.
Ted Birkhahn es presidente de HPL Cyber, un especialista con sede en EE. UU. en marcas, comunicaciones y marketing de seguridad cibernética.