Una respuesta insuficiente o desacertada puede ocasionar pérdidas millonarias y un daño reputacional irreparable. Unos empleados formados y conocer a los interlocutores, ejes de un plan exitoso tras sufrir un ciberataque

Justo hace ahora un año de la celebración del mayor ciberejercicio de seguridad llevado a cabo en Europa (Cyber Europe 2014). Promovido por la Unión Europea (UE) y coordinado por la Agencia Europea de Seguridad de la Información (ENISA), más de 200 organizaciones y 400 expertos en Seguridad TIC de 29 países europeos pusieron a prueba su capacidad de respuesta ante incidentes graves que pueden suponer la caída del suministro de servicios básicos para la ciudadanía.

Este tipo de ejercicios, que también han tenido su reflejo en España, impulsados por ISMS Forum, el Instituto Nacional de Ciberseguridad (Incibe, anteriormente Inteco) y el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC), son fundamentales para mejorar el nivel de protección y la capacidad de ciberdefensa de las organizaciones españolas. En los próximos meses, comenzará una nueva edición de esta práctica, que ahonda en la colaboración cada vez más necesaria entre instituciones públicas y sector privado.

¿Ha mejorado el nivel de concienciación en España?¿Son más conscientes las compañías de los riesgos a los que se enfrentan? ¿Cómo actuarían en caso de tener que gestionar una crisis? ¿Cómo se desarrollaría el proceso de comunicación a empleados y a otros organismos para resolverlo?

La detección de un ataque debe ser prioritaria para evitar las peores consecuencias y poder acelerar la fase de mitigación de la amenaza. Tal y como recuerda a menudo el Incibe, ya no sirve “acordarse de Santa Bárbara cuando truena” y se hace necesario establecer soluciones eficientes contra ataques de denegación de servicio (DDoS), malware, phishing, robo de identidades, ataques man-in-the-middle y un amplio etcétera.

Incibe describe en su renovada página web que “lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre”. La Seguridad de la Información no es una excepción, y por eso es necesaria una aproximación seria y objetiva a al problema, que permita a las organizaciones determinar de manera fiable los riesgos a los que se exponen, en qué medida y cuáles podrían ser las consecuencias más negativas.

Una de las crisis de reputación de mayor calado fue la experimentada por la multinacional Sony a finales de 2014. Un ataque DDoS, tras el estreno de la polémica película sobre Corea del Norte ‘The Interview´, logró hacerse con información confidencial de la compañía. La primera reacción de la firma japonesa fue solicitar a los medios de comunicación que destruyesen el material filtrado, una decisión que acabó costándole el puesto al director de comunicación corporativa, Charles Sipkins. Este caso es una clara muestra de cómo una deficiente gestión de crisis, motivada por un ciberataque, puede ocasionar daños irreparables en la reputación de una compañía que pueden acabar reflejándose en su cotización (diversos analistas estiman pérdidas de 200 millones de dólares).

Definición de planes

Desde el Gobierno se han tomado medidas como la aprobación de la Estrategia Nacional de Ciberseguridad, que sienta las bases para una protección eficaz de las organizaciones, por medio de acciones de prevención, defensa, detección, respuesta y recuperación frente a las ciberamenazas. No obstante, sirve de poco una acción paraguas nacional en este caso si la empresa en cuestión no está concienciada o desconoce cómo actuar en caso de experimentar una crisis.

En muchos aspectos, la seguridad de la información en España es una faceta que está al mismo nivel que otros países de nuestro entorno. Sin embargo, en materia de ciberejercicios y gestión de crisis los especialistas viven con la sensación de que se puede hacer muchísimo más para poder mirarse de tú a tú con Reino Unido, por ejemplo. El objetivo de frenar una crisis de esta naturaleza pasa por cuidar y supervisar a menudo el nivel de seguridad de la arquitectura TI de la empresa. El segundo paso es la formación, entendida como un trabajo continuo enfocado a educar a los empleados en las últimas tendencias en ciberseguridad, una disciplina que se actualiza periódicamente. Con el mismo ahínco deben trabajar los directores de sistemas y los CISOs para que sus soluciones de seguridad presenten las máximas condiciones de calidad y permanezcan actualizadas.

La prueba de fuego tras la detección y una rápida reacción es la comunicación efectiva, en primer lugar entre los profesionales de la empresa, en función de su responsabilidad e implicación en tareas de seguridad de la información. En no pocas ocasiones, los empleados no saben cómo manejar la información confidencial en el desarrollo de sus funciones diarias y, mucho menos, cómo actuar tras declararse una crisis. Asimismo, como se indicaba anteriormente, una comunicación fluida conlleva mitigar las amenazas antes y atenuar las consecuencias del ataque.

Cada compañía ha de elaborar su plan de comunicación de acuerdo con una política de buenas prácticas, previamente desplegada. Este plan de comunicaciones debe incluir a reguladores, cuerpos y fuerzas de seguridad del Estado, aseguradoras y otros organismos de alerta temprana como los CERT. El intercambio de información en el momento oportuno con los actores adecuados es capital ante una situación de crisis provocada por un ciberataque. La organización debe ser proactiva y colaborar desde el principio, facilitando detalles de lo ocurrido, ajustándose a la realidad y con las máximas garantías de confidencialidad, cuál fue el origen del fallo, qué lo provocó, cuáles fueron las primeras consecuencias y cuál ha sido la respuesta por parte del equipo de profesionales de seguridad de la información sobre el terreno.

Lo ideal para cualquier organización que se precie es no tener que activar nunca su plan de gestión de crisis. Para conseguir que así sea, la construcción de una sólida “cultura de ciberseguridad” que cale en la organización y en la sociedad en general es muy importante. Si aún no ha movido ficha, Incibe le ayuda con esta encuesta a conocer el diagnóstico de su empresa.