La Comunicación como aliada de las estrategias de Ciberseguridad
Reportaje publicado en Dircom con la opinión de Jesús Yáñez, socio de ECIJA.
Más de la mitad de los profesionales de la comunicación europeos han sufrido ciberataques en sus organizaciones. Del grupo de afectados, sólo una minoría tenía asumidas funciones de formar e informar a los empleados sobre cómo afrontar este tipo de crisis, según señala el European Communication Monitor. España se presenta como el único país del sur de Europa en el que el tema de la ciberseguridad tiene cierta importancia para los profesionales de la Comunicación, pero quedando aún lejos de los datos de Europa del Norte y Occidental.
Nueve de cada diez problemas de seguridad tienen su origen en comportamientos humanos, por lo que es de vital importancia – y debería ser prioridad en las organizaciones – desarrollar una buena comunicación en torno a estos problemas, poniendo en conocimiento de los empleados lo que está ocurriendo, extrayendo aprendizajes y fortaleciendo la resiliencia, entre otras cuestiones.
Para prevenir ataques informáticos, una de las claves es invertir en formación para el personal, enfocada en dar a conocer todos los riesgos que existen. Además, el departamento de Comunicación debe contar con planes de respuesta concretos y específicos para hacer frente a las crisis de seguridad.
LA CIBERSEGURIDAD, OBJETIVO PRIORITARIO
En este contexto, las organizaciones tienen muy claro que la ciberseguridad ha pasado de ser considerada un bien de lujo a ser un objetivo prioritario, al igual que lo es la seguridad física. Ana Nieto, responsable de Proyectos y Formación en Hispasec, empresa especializada en servicios de ciberseguridad, señala en una entrevista para Dircom que este cambio de prioridad ha venido motivado por la gran actividad y cada vez mejor organización de los ciberdelincuentes. “Ahora no invertir en ciberseguridad puede ser nefasto para una empresa, la materialización de un ataque supone un gran riesgo para los activos digitales”.
Por su parte, Jesús Yánez, socio de las áreas Risk & Compliance, Ciberseguridad y Privacidad y Protección de Datos de la firma jurídica ECIJA, indica que uno de los principales problemas en esta materia recae en la pequeña y mediana empresa, ya que, a excepción de algunas organizaciones especializadas en el mundo de internet, en el resto de los casos las empresas no son conscientes de los riesgos que puede suponer un ciberataque. “Hay compañías que no saben que ya han sido objeto de un ataque, que ya pudo haber una filtración de información de negocio, etc. Sólo son conscientes cuando tienen un problema de disponibilidad evidente, por ejemplo, si son víctimas de un ransomware, pero no en otras situaciones que pueden ser muy peligrosas. No solo porque supondría un incumplimiento de determinadas normativas, sino también porque es un riesgo claro para uno de los activos principales de las organizaciones, que es su información, a la cual se puede acceder de manera indebida por terceros, e incluso modificarla”, comparte.
ATAQUES MÁS COMUNES Y RECOMENDACIONES
En España se produjeron 40.000 ciberataques diarios en el último año, lo que supuso un incremento del 125 % respecto al año anterior. El coste de los ciberataques ya se cifra en 40 millones de euros, siendo la mediana y pequeña empresa la que más los sufre.
Ana Nieto (Hispasec) explica que los ciberataques más frecuentes son los intentos de phishing, algunos con técnicas de ingeniería social y muy dirigidos al fraude online. “Las suplantaciones, denegación de servicio y, por supuesto, los ataques malware son muy frecuentes”. Entre los ataques más peligrosos destacan aquellos que consiguen acceso a los recursos internos de las organizaciones: “Éstos incluyen por lo general malware para realizar una exfiltración de datos y pueden culminar con ransomware en el caso de que los ciberdelincuentes quieran hacerse visibles y solicitar un pago por los datos previamente exfiltrados”, afirma, añadiendo que es precisamente el ransomware “el que ha cambiado las reglas del juego”.
Las suplantaciones, denegación de servicio y, por supuesto, los ataques malware son muy frecuentes
La única solución válida para cualquier organización que se quiera defender de los cibercriminales es contar con un buen plan de prevención y ciberseguridad, que incluya la monitorización de los activos más importantes para el negocio. También, la formación resulta fundamental, apunta Nieto. “El factor humano sigue siendo una de las debilidades más notorias hoy día, y no entiende de jerarquías ni departamentos. Además, estamos detectando que muchas empresas sobreentienden que el personal técnico ya sabe lo básico de ciberseguridad, y desgraciadamente no es así. Se necesita formación a varios niveles, que se adapte a los diferentes perfiles y necesidades de los empleados”.
LOS EMPLEADOS, UN PILAR PARA LA CIBERSEGURIDAD
Actualmente, el 95 % de los ciberataques que sufren las empresas tienen su origen en el factor humano, ya sea por un error del propio empleado o por desconocimiento. Según el último informe de ciberseguridad de PwC España, el 86 % de las empresas considera que en su organización no existe o debería mejorarse una cultura de ciberseguridad.
Esta estrategia resulta esencial para que los empleados entiendan la importancia de la ciberseguridad e incorporen a sus acciones diarias hábitos y conductas que protejan la seguridad de la empresa. A este respecto, Nieto (Hispasec) enumera dos puntos críticos que hay que considerar para minimizar los riesgos a través de los empleados: “El primero es que es un asunto de salud y seguridad pública. Los malos hábitos de nuestro día a día van a repercutir también en nuestro entorno empresarial. El segundo punto, es que, una vez conocido lo básico, deben aprender ciberseguridad para su puesto de trabajo. Esta parte es la específica y depende de los perfiles. Desde seguridad a nivel de ofimática hasta desarrollo seguro o bien conceptos más avanzados y específicos”.
Los malos hábitos de nuestro día a día van a repercutir también en nuestro entorno empresarial.
En relación con la atención al empleado, la Comunicación Interna se alza como herramienta imprescindible para concienciar en temas de ciberseguridad a los públicos internos. Algunas de las pautas para proteger la seguridad de la empresa pasan por sensibilizar a los empleados acerca de la importancia de los planes de seguridad, fortalecer los canales internos para prevenir fugas de datos o incluir en el manual de crisis los protocolos a seguir en caso de crisis digital.
También hay quienes apuestan por una vivencia en primera persona. Iván Pino, socio y director Senior de Crisis y Riesgos en LLYC, apunta a que no hay mejor experiencia formativa que la simulación de un escenario de ciberataque: “Hay que ser capaces de recrear una situación de crisis lo más próxima a la realidad, con repercusión en redes sociales, medios de comunicación, atención al cliente, relaciones institucionales…”. Otra vía por la que apuesta Pino es la de la gamificación: “Gamificar las formaciones mediante videojuegos facilita la asimilación de las buenas prácticas de ciberseguridad entre los empleados de la empresa”, añade.
MITIGAR DAÑOS REPUTACIONALES A TRAVÉS DE LA COMUNICACIÓN
El escenario que plantea el futuro más cercano no es, ni mucho menos, tranquilizador. Los ciberataques seguirán multiplicándose y con ello las incidencias que pueden provocar en los datos de una PYME o gran empresa. No cabe duda de que contar con un protocolo y plan de ciberseguridad es esencial para la supervivencia de cualquier organización. Pero también lo será contar con un Plan de Comunicación actualizado, y que incluya protocolos específicos para enfrentar un ciberataque y las consecuencias que pueda originar.
En opinión de Iván Pino (LLYC), las empresas más grandes sí cuentan con planes de ciberseguridad adecuados, pero no está tan seguro de que ocurra lo mismo con las pequeñas y medianas empresas españolas. Tampoco cree que se esté haciendo todo lo necesario en materia de comunicación de crisis de ciberseguridad. “Ha crecido la preocupación por el impacto en el negocio y la reputación en todas ellas, pero todavía se están abordando las soluciones de forma parcial y reactiva, no de forma holística y preventiva. Se reacciona a las crisis mediante coordinación de urgencia entre los dircoms y los CISO (Chief Information Security Officer), pero suelen faltar protocolos y entrenamientos específicos sobre la comunicación de este tipo de riesgo”, comenta.
Las organizaciones aún están están abordando las soluciones de ciberseguridad de forma parcial y reactiva, no de forma holística y preventiva
El experto en comunicación de crisis constata que, aunque las empresas hayan empezado a practicar simulacros de ciberataques, no ensayan escenarios de riesgo reputacional: “No se encuentran demasiados protocolos que tengan en cuenta las reacciones de aquellos públicos, que asuman la bidireccionalidad de la comunicación, ni tampoco, la gestión de la conversación a escala con todos los grupos de interés”.
Sobre cómo mitigar o evitar los daños reputacionales que pueden causar las crisis de ciberseguridad, Pino (LLYC) adelanta que es necesario contar con respuestas de evitación, de mitigación e, incluso, de reversión, que son más adecuadas en cada caso según el apetito y tolerancia al riesgo reputacional de la marca. “La táctica de evitación requiere no sólo desplegar unos recursos suficientes de ciberseguridad, sino generar un contexto de mayor transparencia sobre los mismos, algo que no suele hacerse por temor a provocar una especie de “efecto llamada” sobre los hackers. Como en todo, se hace necesario encontrar fórmulas creativas para resolver esas discrepancias entre áreas diferentes de la compañía”, añade.
PLAN DE COMUNICACIÓN EN MATERIA DE CIBERSEGURIDAD
Los planes de Comunicación en materia de ciberseguridad deben considerar varios puntos estratégicos, como son:
-
- El impacto en la reputación de la compañía que pueden tener los diferentes eventos críticos (experiencias incontrolables que afectan a la seguridad corporativa)
- Ser capaces de anticipar las medidas correctoras y paliativas que correspondan en cada caso
“No es lo mismo un ataque de denegación de servicio, que inhabilita la operativa de una empresa, que una suplantación hostil de identidad, con una propagación masiva”, apunta Pino. Mientras que el primero afecta a la dimensión de la “credibilidad” de la compañía, con impacto en toda la cadena de valor; el segundo impacta en la dimensión “imagen” de la marca, con mayor repercusión en los consumidores. “Cada una requiere una narrativa y unas respuestas diferentes”, añade.
LA PRIVACIDAD DE DATOS, UN DESAFÍO POR DELANTE
El 73 % de las empresas españolas ha sufrido al menos una brecha de seguridad en el último año, según el último informe de Kingston. Las compañías, a pesar de cumplir con la RGPD, tienen problemas para garantizar la seguridad de la información que almacenan. En este escenario, el cifrado de datos por software y/o hardware se perfila como la mejor solución para hacer frente a potenciales filtraciones de datos o pérdida de información (reflejado en el artículo 32 de la RGDP).
A juicio de Jesús Yánez, socio de ECIJA, uno de los principales riesgos de una empresa en materia de privacidad de datos es la falta de detección de estar siendo víctimas de una brecha de seguridad. Como indica el experto, si no sabemos qué está ocurriendo, difícilmente podamos encontrar una solución, pero el problema sigue estando ahí.
El consumidor final no va a entender nunca que existan brechas de seguridad como consecuencia de una dejadez por parte de la empresa
“Desgraciadamente no podemos asegurar al 100 % que no vayamos a ser víctimas de una brecha de seguridad, en cuyo caso nos enfrentamos a tres riesgos principales: Un riesgo de negocio, ya que los datos pueden estar comprometidos y probablemente no podamos continuar prestando servicio a nuestros clientes durante un tiempo. Un segundo riesgo normativo, porque puede que hayamos incumplido alguna de las normas de referencia en materia de ciberseguridad, que puede desembocar en una sanción. Y, un tercer riesgo, quizá el mayor de todos, de imagen y reputación. El consumidor final puede entender que existan brechas de seguridad, aunque lógicamente es algo desagradable para él porque sus datos están en juego. Pero lo que no va a entender nunca es que existan brechas de seguridad como consecuencia de una dejadez por parte de la empresa en la implementación de medidas de seguridad”, añade.
CUATRO RECOMENDACIONES DE SEGURIDAD A NIVEL USUARIO
Hay cuestiones que, como usuarios de sistemas o servicios en internet, nos pueden evitar muchos quebraderos de cabeza. Jesús Yánez, socio de ECIJA, adelanta algunas recomendaciones:
-
- Nuestros dispositivos tienen que estar actualizados. Las actualizaciones de los sistemas operativos y firmware, en la mayoría de las ocasiones, aportan parches de seguridad importantes. Debemos actualizar nuestros dispositivos y aplicaciones de manera regular.
- Ser conscientes de la importancia de las comunicaciones cifradas. Aunque cada día es menos habitual, aún quedan numerosas páginas webs cuya comunicación no es cifrada y los datos que depositemos pueden estar accesibles. Un ejemplo cotidiano puede ser el de enviar una postal sin sobre, cuyo contenido puede leer cualquiera. En este sentido, también debemos tener en cuenta la importancia del cifrado de nuestros dispositivos: Cualquier dispositivo móvil (Android, iPhone, Linux, MacOs, Windows) dispone de herramientas gratuitas para cifrar su contenido incluidas en el propio sistema operativo. En caso de robo, el saber que nadie va a poder acceder a su contenido es toda una garantía.
- Lo más importante: nuestras credenciales. No debemos utilizar las mismas credenciales en todos los sitios web a los que accedamos, ya que, si estas webs sufren una brecha, nuestras credenciales estarán comprometidas. La recomendación es clara, cambiarlas de forma periódica y habilitar un doble factor de autenticación, cada vez más esencial. Y, por supuesto, no utilizar nuestra cuenta de correo electrónico profesional y contraseña profesional en webs y servicios no corporativos.
- Realizar periódicamente copias de seguridad. Los dispositivos se estropean y la obsolescencia programada es una realidad. Debemos hacer copias de seguridad para evitar situaciones desagradables.