El Economista - Buen Gobierno y RSC
La gestión de un ciberataque debe contar con un plan de comunicación
Una empleada bromea en redes sociales sobre un ciberataque a su empresa, que resultó ser falso, hace bajar sus acciones y crea una crisis reputacional sin precedentes
El pasado mes de septiembre, una joven empleada de una compañía tecnológica que un par de años antes había sufrido un grave ciberataque, anunciaba en su cuenta de Tik Tok que la empresa acababa de ser víctima de un incidente de seguridad provocado por un ransomware que, supuestamente, habría vuelto a afectar a los sistemas de la entidad, y que, derivado de ello, les habían dado instrucciones de desconectar sus ordenadores de inmediato.
Al saltar la noticia en redes sociales, todos los foros especializados en ciberseguridad se hicieron eco de ella, lo que provocó que muchas de las empresas proveedoras de la compañía, siguiendo sus protocolos de seguridad, se apresuraran a desconectar sus VPN de los sistemas de su cliente, ante el temor a que el supuesto malware se expandiera también por sus redes.
Poco tiempo después, la misma empleada matizaba su mensaje inicial, reconociendo su error, y señalaba que simplemente se había tratado de uno de los simulacros que, periódicamente, la empresa pone en marcha dentro de su plan de promoción de la cultura de ciberseguridad para empleados.
Sin embargo, ya era demasiado tarde, y todas las alarmas habían saltado, hasta el punto de que las acciones de la compañía parecieron sufrir un claro descenso ante la pérdida de confianza que tal situación había provocado en el mercado inversor.
“Aunque la empresa no confirme ni desmienta oficialmente la veracidad de la noticia, la viralidad del mensaje hará que éste se difunda a gran velocidad, provocando una crisis de comunicación que cualquier empresa debe estar preparada para afrontar de manera inmediata. Este caso nos recuerda la fragilidad de todo el sistema de ciberseguridad, donde cualquier elemento imprevisto, como es la revelación de información por parte de un empleado a través de sus redes sociales, puede poner en jaque a toda la organización”, recuerda Francisco Pérez Bes, socio de Derecho digital en Ecix Group y antiguo Secretario General del Instituto Nacional de Ciberseguridad de España (Incibe), quien fue testigo de las
precipiten y difundan públicamente la existencia de una supuesta crisis, actuando como whistleblowers improvisados e impidiendo al departamento de comunicación interna, entre otros, hacer su trabajo de manera apropiada.
En segundo lugar, la reacción que tales mensajes pueden provocar en proveedores, clientes y otros integrantes de la cadena de suministro de la empresa, quienes deberán tener bien procedimentado cómo actuar ante una situación de crisis y qué canales son los adecuados para comunicarse de manera adecuada con la empresa afectada durante la gestión del incidente.
Y, por ultimo, saber gestionar bien la comunicación hacia el exterior, con tal de evitar los efectos adversos que puede provocar una noticia relacionada con un ciberataque en la reputación de la empresa y en la confianza del mercado en aquellas, lo que -como en el caso expuesto- puede tener un impacto imprevisible en el valor de cotización de las acciones de la compañía, aunque sea puntualmente.
Así las cosas, concluye Pérez Bes, a la complejidad de la gestión de un incidente de ciberseguridad hay que prever la dificultad que añaden otros aspectos,
La viralidad de los ataques harán que éste se difunda a gran velocidad por la Red