211service.com
Comunicación de crisis después de un ataque
En alianza con Los servicios de seguridad empresarial de Hewlett Packard y FireEye Inc.
Este es un escenario cada vez más común: usted es un líder empresarial o de TI y se entera, muy posiblemente de fuentes externas a su empresa, que los atacantes cibernéticos han comprometido los sistemas de su organización. Todavía no sabe qué tan grave es la infracción a la que se enfrenta, pero claramente es hora de activar su plan de comunicación de crisis.
Excepto que no tienes un plan. O tiene uno, pero no cubre las crisis de ciberseguridad.
En cualquier caso, no estás solo. Los expertos en seguridad dicen que incluso las organizaciones más conscientes de la seguridad a menudo están terriblemente mal preparadas cuando se trata de comunicarse con las partes interesadas internas y externas durante y después de los ataques cibernéticos, y eso las deja luchando para recuperar el control en una crisis. Eso es típicamente porque no hicieron suficiente trabajo antes de el incumplimiento.
“El mayor error que veo que cometen las empresas es no contar con un plan de comunicación de crisis”, dice Vitor De Souza, vicepresidente de comunicaciones globales de FireEye Inc., una empresa líder mundial en ciberseguridad. La observación de De Souza está respaldada por una encuesta de febrero de 2016 realizada por MIT Technology Review Custom en asociación con FireEye y Hewlett Packard Enterprise (HPE) Security Services. El cuarenta y cuatro por ciento de los 225 líderes empresariales y de TI encuestados dijeron que sus organizaciones no tenían planes de comunicación de crisis de ciberseguridad implementados; otro 15 por ciento no sabía si tenían tales planes.
Un error similar: confiar en un plan de comunicación de crisis que se enfoca en otros tipos de emergencias: incendios, cortes de energía, desastres naturales. Este tipo de plan no abordará cómo comunicarse sobre cuestiones exclusivas de las violaciones de la seguridad de la información, como el posible acceso de ciberdelincuentes a información de identificación personal o propiedad intelectual corporativa.
Video: Comunicación de crisis después de un ataque
Los ataques cibernéticos son más complicados de manejar que los incendios, y son mucho más complicados de discutir con el público. “Si hay un incendio en el edificio, hay una o dos salidas, pero en el ciberespacio hay muchos escenarios diferentes. Tienes que saber a lo que te puedes enfrentar, dice De Souza.
Como individuos en una organización, si olemos humo o vemos un incendio, nos sentimos capacitados para hacer sonar la alarma, dice Andrzej Kawalec, CTO de HPE Security Services. Una alarma contra incendios activa los planes de comunicación de crisis y de respuesta a emergencias de una manera bastante sencilla, pero, dice Kawalec, esto no sucede con los incidentes de seguridad cibernética, por dos razones.
Resultados de la encuesta
Desafíos, riesgos, tendencias e impactos de la ciberseguridad
Producido por MIT Technology Review Custom en colaboración con Hewlett Packard Enterprise Security Services y FireEye Inc.
En primer lugar, las infracciones a menudo son reportadas por primera vez por personas externas, lo que toma a las organizaciones por sorpresa. En 2015, el 53 por ciento de los incidentes manejados por Mandiant, una empresa de FireEye, fueron informados por primera vez por fuentes externas, como clientes, socios, funcionarios encargados de hacer cumplir la ley, periodistas o los propios atacantes. Inmediatamente, se encuentran en una situación muy reactiva, con un alto grado de incertidumbre, señala Kawalec.
En segundo lugar, las infracciones a menudo ocurren durante largos períodos de tiempo. La mediana de tiempo que los adversarios de los clientes de Mandiant pasaron dentro del perímetro antes de ser detectados en 2015 fue de 146 días, según el informe de Mandiant. M-Tendencias 2016 . Si lo encuentra en el día cinco, solo se puede hacer mucho daño en ese tiempo, dice Kawalec. Pero a veces las infracciones no se descubren durante meses o incluso años. Los largos retrasos en la detección hacen que la crisis sea mucho más difícil de manejar y de explicar a las diversas audiencias afectadas. Las preguntas que se hacen a raíz de una filtración, como por qué tomó tanto tiempo descubrir la filtración y por qué sucedió en primer lugar, tienen el potencial de ser mucho más dañinas para la reputación de una empresa que las que normalmente se hacen después de un incendio. u otro desastre natural.
Aun así, Kawalec y otros expertos dicen que es fundamental mantener informadas a las partes interesadas después de una infracción. Lo peor son los rumores y las conjeturas, dice Kawalec. Cree un marco para responder preguntas con honestidad y con integridad. Sea transparente sobre lo que sabe y lo que no sabe.
Comuníquese continuamente y desde arriba
Chris Leach, tecnólogo jefe de HPE Security Services y ex director de seguridad de la información (CISO) de una gran corporación, está de acuerdo. Comuníquese con la gente hacia arriba y hacia abajo, y comuníquese continuamente, recomienda. Incluya lo que sabe para inspirar confianza de que usted, como empresa, está abordando el problema y protegiendo la información. Siempre que sea posible, comprométase a actuar: por ejemplo, diga 'vamos a tener esto resuelto para' y luego complete el espacio en blanco. Promete actualizaciones cuando haya más información para compartir.
Sin embargo, Leach recomienda compartir la información según sea necesario: normalmente no comunicaríamos todos los detalles de una infracción a todos los empleados, dice. Solo compartiremos lo suficiente para asegurarnos de que estén seguros de que lo estamos manejando y que esta es información que podrían y deberían compartir con sus clientes.
Al mismo tiempo, es importante abordar las preocupaciones de los empleados sobre si su propia información personal se ha visto comprometida, dice Kawalec. Los empleadores suelen tener datos confidenciales sobre los empleados: salario, dirección, antecedentes laborales, registros de desempeño laboral y otros detalles personales. Por esa razón, dice Kawalec, sus empleados necesitan sentir que se está comunicando con ellos y que entienden lo que sucedió.
Los tres expertos enfatizan la importancia de involucrar a los principales líderes de la empresa en el plan de comunicación de crisis no solo durante un ataque cibernético, sino también mucho antes. Una brecha no es un problema de TI, dice De Souza. Es un problema de negocios. El C-suite debe ser práctico. Prepáralos. Una vez que hayas hecho eso, tienes un compañero, un aliado, para enfrentar el desafío.
Además, las organizaciones inteligentes que adoptan el viaje de la transformación digital ven su plan de comunicación de crisis de seguridad cibernética como un trabajo en progreso perpetuo, actualizándolo para reflejar la evolución interminable de nuevas amenazas. Un ejemplo de una amenaza emergente: el ransomware, en el que un atacante restringe el acceso a un sistema informático hasta que una empresa paga una fuerte tarifa de chantaje. En un incidente de alto perfil en febrero de 2016, un ataque de ransomware bloqueó el acceso de los empleados a los sistemas informáticos en el Centro Médico Presbiteriano de Hollywood en Los Ángeles. Los atacantes cibernéticos exigieron que el hospital pagara el equivalente a unos 17 000 dólares a través del sistema de moneda virtual Bitcoin para obtener la clave de descifrado para desbloquear los sistemas. En aras de restaurar las operaciones normales, hicimos esto, escribió el presidente y director ejecutivo del hospital, Allen Stefanek, en una carta publicado en el sitio web del hospital.
La carta de Stefanek señaló que el ciberataque del Hollywood Presbyterian no comprometió la atención de los pacientes y que, por lo que el hospital pudo ver, los atacantes nunca accedieron a la información de los empleados o pacientes. Pero el concepto de rescate desconcertó a los equipos de liderazgo en otras organizaciones en todo el mundo. ¿Qué pasa si sus sistemas fallan porque alguien le pide que pague $1.5 millones? pregunta De Souza. ¿Estás preparado para lidiar con eso? Igualmente importante: ¿Qué dirá al respecto? ¿Su plan de comunicación aborda ese escenario?
Construya una base sólida
Por supuesto, los planes de comunicación de crisis variarán ampliamente de una organización a otra. Pero los expertos ofrecen algunas recomendaciones para establecer un marco efectivo de comunicación de crisis:
- Crear un equipo de comunicación multifuncional. Teníamos una persona de recursos humanos. Teníamos personas de comunicación y legales, y alguien del equipo de TI, dice Leach al describir el equipo de comunicación de crisis de seguridad cibernética en su antiguo empleador. Según el tipo de infracción, el equipo central a veces contrataba a otros especialistas internos. Por lo tanto, podría incluir un especialista en almacenamiento o un especialista de una línea de negocios en otra región del mundo, explica.
- Establecer una estructura de liderazgo clara. 'Cuando las cosas pasan, pasan rápido, dice De Souza. El árbol de comunicación debe estar bien definido, con un propietario que se sienta cómodo haciéndose cargo.
- Hablar con una sola voz . Eso no significa necesariamente usar un solo vocero. En cambio, significa garantizar que todos los que tienen la facultad de hablar con las partes interesadas compartan el mismo mensaje. En toda nuestra comunicación, solo había dos o tres personas a las que se les permitía hablar en nombre de la empresa, recuerda Leach. Recomienda proporcionar a esos portavoces capacitación profesional en medios, nuevamente, mucho antes de que necesiten usar esas habilidades.
- Tener plataformas de comunicación listas para funcionar. La gente no está acostumbrada a manejar una crisis a la velocidad de Twitter, dice Kawalec. Si la infracción se hace pública, ponga en línea un sitio web dedicado lo más rápido posible. Configure múltiples canales bidireccionales para que las partes interesadas (empleados, clientes, socios, medios de comunicación y otros) puedan comunicarse con la empresa con información o preguntas.
- Práctica práctica práctica. De Souza recomienda realizar ejercicios de simulación, ensayos regulares que involucren estrategias de comunicación para responder a diferentes tipos de ataques cibernéticos. ¿Qué tan regular? Souza dice que en los mejores ejemplos que ha visto, las organizaciones realizan simulacros cada trimestre e incluyen al C-suite, así como al equipo de comunicación de crisis. Debe asegurarse de que el plan de comunicación esté operativo y de que realmente pueda usarlo, señala.
Busque experiencia externa
Por supuesto, muchas organizaciones carecen de los recursos internos necesarios para crear, practicar y actualizar continuamente planes integrales de comunicación de crisis, especialmente dada la gran diversidad de posibles escenarios de ciberataques. En esos casos, tiene sentido recurrir a socios externos con gran experiencia en el establecimiento de planes y mejores prácticas de comunicación de crisis. Un ejemplo: HPE Security Services y FireEye, que han brindado respuestas a incidentes, evaluación de compromisos y ofertas de detección de amenazas a miles de clientes en todo el mundo, y también ofrecen muchos consejos comprobados sobre la planificación de la comunicación de crisis.
Está claro que no se puede controlar el ciclo de comunicación sin haber hecho algún trabajo por adelantado, señala Kawalec. Entonces, con anticipación, podemos desarrollar con usted, o para usted, un plan de respuesta a la crisis muy bien pensado con diferentes planos y escenarios. Luego lo usamos como un manual de capacitación que sus equipos pueden usar para operar en tiempo real.
De esa manera, cuando ocurre lo inevitable, las organizaciones están bien preparadas para responder, dice Kawalec. En el calor del momento, sabes qué decir y cómo decirlo. Sabe cómo articular diferentes mensajes para diferentes audiencias. Puede tomar el control de la situación y comunicarla.
Para obtener más información sobre la transformación digital y la ciberseguridad, explore este Sitio web de recursos de HPE-FireEye.