9 diciembre, 2021

La Comunicación como aliada de las estrategias de Ciberseguridad

Reportaje publicado en Dircom con la opinión de Jesús Yáñez, socio de ECIJA.

Más de la mitad de los profesionales de la comunicación europeos han sufrido ciberataques en sus organizaciones. Del grupo de afectados, sólo una minoría tenía asumidas funciones de formar e informar a los empleados sobre cómo afrontar este tipo de crisis, según señala el European Communication Monitor. España se presenta como el único país del sur de Europa en el que el tema de la ciberseguridad tiene cierta importancia para los profesionales de la Comunicación, pero quedando aún lejos de los datos de Europa del Norte y Occidental.

Nueve de cada diez problemas de seguridad tienen su origen en comportamientos humanos, por lo que es de vital importancia – y debería ser prioridad en las organizaciones – desarrollar una buena comunicación en torno a estos problemas, poniendo en conocimiento de los empleados lo que está ocurriendo, extrayendo aprendizajes y fortaleciendo la resiliencia, entre otras cuestiones.

Para prevenir ataques informáticos, una de las claves es invertir en formación para el personal, enfocada en dar a conocer todos los riesgos que existen. Además, el departamento de Comunicación debe contar con planes de respuesta concretos y específicos para hacer frente a las crisis de seguridad.

LA CIBERSEGURIDAD, OBJETIVO PRIORITARIO

En este contexto, las organizaciones tienen muy claro que la ciberseguridad ha pasado de ser considerada un bien de lujo a ser un objetivo prioritario, al igual que lo es la seguridad física. Ana Nieto, responsable de Proyectos y Formación en Hispasec, empresa especializada en servicios de ciberseguridad, señala en una entrevista para Dircom que este cambio de prioridad ha venido motivado por la gran actividad y cada vez mejor organización de los ciberdelincuentes. “Ahora no invertir en ciberseguridad puede ser nefasto para una empresa, la materialización de un ataque supone un gran riesgo para los activos digitales”.

Por su parte, Jesús Yánez, socio de las áreas Risk & Compliance, Ciberseguridad y Privacidad y Protección de Datos de la firma jurídica ECIJA, indica que uno de los principales problemas en esta materia recae en la pequeña y mediana empresa, ya que, a excepción de algunas organizaciones especializadas en el mundo de internet, en el resto de los casos las empresas no son conscientes de los riesgos que puede suponer un ciberataque. “Hay compañías que no saben que ya han sido objeto de un ataque, que ya pudo haber una filtración de información de negocio, etc. Sólo son conscientes cuando tienen un problema de disponibilidad evidente, por ejemplo, si son víctimas de un ransomware, pero no en otras situaciones que pueden ser muy peligrosas. No solo porque supondría un incumplimiento de determinadas normativas, sino también porque es un riesgo claro para uno de los activos principales de las organizaciones, que es su información, a la cual se puede acceder de manera indebida por terceros, e incluso modificarla”, comparte.

ATAQUES MÁS COMUNES Y RECOMENDACIONES

En España se produjeron 40.000 ciberataques diarios en el último año, lo que supuso un incremento del 125 % respecto al año anterior. El coste de los ciberataques ya se cifra en 40 millones de euros, siendo la mediana y pequeña empresa la que más los sufre.

Ana Nieto (Hispasec) explica que los ciberataques más frecuentes son los intentos de phishing, algunos con técnicas de ingeniería social y muy dirigidos al fraude online. “Las suplantaciones, denegación de servicio y, por supuesto, los ataques malware son muy frecuentes”. Entre los ataques más peligrosos destacan aquellos que consiguen acceso a los recursos internos de las organizaciones: “Éstos incluyen por lo general malware para realizar una exfiltración de datos y pueden culminar con ransomware en el caso de que los ciberdelincuentes quieran hacerse visibles y solicitar un pago por los datos previamente exfiltrados”, afirma, añadiendo que es precisamente el ransomware “el que ha cambiado las reglas del juego”.

Las suplantaciones, denegación de servicio y, por supuesto, los ataques malware son muy frecuentes

La única solución válida para cualquier organización que se quiera defender de los cibercriminales es contar con un buen plan de prevención y ciberseguridad, que incluya la monitorización de los activos más importantes para el negocio. También, la formación resulta fundamental, apunta Nieto. “El factor humano sigue siendo una de las debilidades más notorias hoy día, y no entiende de jerarquías ni departamentos. Además, estamos detectando que muchas empresas sobreentienden que el personal técnico ya sabe lo básico de ciberseguridad, y desgraciadamente no es así. Se necesita formación a varios niveles, que se adapte a los diferentes perfiles y necesidades de los empleados”.

LOS EMPLEADOS, UN PILAR PARA LA CIBERSEGURIDAD

Actualmente, el 95 % de los ciberataques que sufren las empresas tienen su origen en el factor humano, ya sea por un error del propio empleado o por desconocimiento. Según el último informe de ciberseguridad de PwC España, el 86 % de las empresas considera que en su organización no existe o debería mejorarse una cultura de ciberseguridad.

Esta estrategia resulta esencial para que los empleados entiendan la importancia de la ciberseguridad e incorporen a sus acciones diarias hábitos y conductas que protejan la seguridad de la empresa. A este respecto, Nieto (Hispasec) enumera dos puntos críticos que hay que considerar para minimizar los riesgos a través de los empleados: “El primero es que es un asunto de salud y seguridad pública. Los malos hábitos de nuestro día a día van a repercutir también en nuestro entorno empresarial. El segundo punto, es que, una vez conocido lo básico, deben aprender ciberseguridad para su puesto de trabajo. Esta parte es la específica y depende de los perfiles. Desde seguridad a nivel de ofimática hasta desarrollo seguro o bien conceptos más avanzados y específicos”.

Los malos hábitos de nuestro día a día van a repercutir también en nuestro entorno empresarial.

En relación con la atención al empleado, la Comunicación Interna se alza como herramienta imprescindible para concienciar en temas de ciberseguridad a los públicos internos. Algunas de las pautas para proteger la seguridad de la empresa pasan por sensibilizar a los empleados acerca de la importancia de los planes de seguridad, fortalecer los canales internos para prevenir fugas de datos o incluir en el manual de crisis los protocolos a seguir en caso de crisis digital.

También hay quienes apuestan por una vivencia en primera persona. Iván Pino, socio y director Senior de Crisis y Riesgos en LLYC, apunta a que no hay mejor experiencia formativa que la simulación de un escenario de ciberataque: “Hay que ser capaces de recrear una situación de crisis lo más próxima a la realidad, con repercusión en redes sociales, medios de comunicación, atención al cliente, relaciones institucionales…”. Otra vía por la que apuesta Pino es la de la gamificación: “Gamificar las formaciones mediante videojuegos facilita la asimilación de las buenas prácticas de ciberseguridad entre los empleados de la empresa”, añade.

MITIGAR DAÑOS REPUTACIONALES A TRAVÉS DE LA COMUNICACIÓN

El escenario que plantea el futuro más cercano no es, ni mucho menos, tranquilizador. Los ciberataques seguirán multiplicándose y con ello las incidencias que pueden provocar en los datos de una PYME o gran empresa. No cabe duda de que contar con un protocolo y plan de ciberseguridad es esencial para la supervivencia de cualquier organización. Pero también lo será contar con un Plan de Comunicación actualizado, y que incluya protocolos específicos para enfrentar un ciberataque y las consecuencias que pueda originar.

En opinión de Iván Pino (LLYC), las empresas más grandes sí cuentan con planes de ciberseguridad adecuados, pero no está tan seguro de que ocurra lo mismo con las pequeñas y medianas empresas españolas. Tampoco cree que se esté haciendo todo lo necesario en materia de comunicación de crisis de ciberseguridad. “Ha crecido la preocupación por el impacto en el negocio y la reputación en todas ellas, pero todavía se están abordando las soluciones de forma parcial y reactiva, no de forma holística y preventiva. Se reacciona a las crisis mediante coordinación de urgencia entre los dircoms y los CISO (Chief Information Security Officer), pero suelen faltar protocolos y entrenamientos específicos sobre la comunicación de este tipo de riesgo”, comenta.

Las organizaciones aún están están abordando las soluciones de ciberseguridad de forma parcial y reactiva, no de forma holística y preventiva

El experto en comunicación de crisis constata que, aunque las empresas hayan empezado a practicar simulacros de ciberataques, no ensayan escenarios de riesgo reputacional: “No se encuentran demasiados protocolos que tengan en cuenta las reacciones de aquellos públicos, que asuman la bidireccionalidad de la comunicación, ni tampoco, la gestión de la conversación a escala con todos los grupos de interés”.

Sobre cómo mitigar o evitar los daños reputacionales que pueden causar las crisis de ciberseguridad, Pino (LLYC) adelanta que es necesario contar con respuestas de evitación, de mitigación e, incluso, de reversión, que son más adecuadas en cada caso según el apetito y tolerancia al riesgo reputacional de la marca. “La táctica de evitación requiere no sólo desplegar unos recursos suficientes de ciberseguridad, sino generar un contexto de mayor transparencia sobre los mismos, algo que no suele hacerse por temor a provocar una especie de “efecto llamada” sobre los hackers. Como en todo, se hace necesario encontrar fórmulas creativas para resolver esas discrepancias entre áreas diferentes de la compañía”, añade.

PLAN DE COMUNICACIÓN EN MATERIA DE CIBERSEGURIDAD

Los planes de Comunicación en materia de ciberseguridad deben considerar varios puntos estratégicos, como son:

- El impacto en la reputación de la compañía que pueden tener los diferentes eventos críticos (experiencias incontrolables que afectan a la seguridad corporativa)
- Ser capaces de anticipar las medidas correctoras y paliativas que correspondan en cada caso

“No es lo mismo un ataque de denegación de servicio, que inhabilita la operativa de una empresa, que una suplantación hostil de identidad, con una propagación masiva”, apunta Pino. Mientras que el primero afecta a la dimensión de la “credibilidad” de la compañía, con impacto en toda la cadena de valor; el segundo impacta en la dimensión “imagen” de la marca, con mayor repercusión en los consumidores. “Cada una requiere una narrativa y unas respuestas diferentes”, añade.

LA PRIVACIDAD DE DATOS, UN DESAFÍO POR DELANTE

El 73 % de las empresas españolas ha sufrido al menos una brecha de seguridad en el último año, según el último informe de Kingston. Las compañías, a pesar de cumplir con la RGPD, tienen problemas para garantizar la seguridad de la información que almacenan. En este escenario, el cifrado de datos por software y/o hardware se perfila como la mejor solución para hacer frente a potenciales filtraciones de datos o pérdida de información (reflejado en el artículo 32 de la RGDP).

A juicio de Jesús Yánez, socio de ECIJA, uno de los principales riesgos de una empresa en materia de privacidad de datos es la falta de detección de estar siendo víctimas de una brecha de seguridad. Como indica el experto, si no sabemos qué está ocurriendo, difícilmente podamos encontrar una solución, pero el problema sigue estando ahí.

El consumidor final no va a entender nunca que existan brechas de seguridad como consecuencia de una dejadez por parte de la empresa

“Desgraciadamente no podemos asegurar al 100 % que no vayamos a ser víctimas de una brecha de seguridad, en cuyo caso nos enfrentamos a tres riesgos principales: Un riesgo de negocio, ya que los datos pueden estar comprometidos y probablemente no podamos continuar prestando servicio a nuestros clientes durante un tiempo. Un segundo riesgo normativo, porque puede que hayamos incumplido alguna de las normas de referencia en materia de ciberseguridad, que puede desembocar en una sanción. Y, un tercer riesgo, quizá el mayor de todos, de imagen y reputación. El consumidor final puede entender que existan brechas de seguridad, aunque lógicamente es algo desagradable para él porque sus datos están en juego. Pero lo que no va a entender nunca es que existan brechas de seguridad como consecuencia de una dejadez por parte de la empresa en la implementación de medidas de seguridad”, añade.

CUATRO RECOMENDACIONES DE SEGURIDAD A NIVEL USUARIO

Hay cuestiones que, como usuarios de sistemas o servicios en internet, nos pueden evitar muchos quebraderos de cabeza. Jesús Yánez, socio de ECIJA, adelanta algunas recomendaciones:

1. Nuestros dispositivos tienen que estar actualizados. Las actualizaciones de los sistemas operativos y firmware, en la mayoría de las ocasiones, aportan parches de seguridad importantes. Debemos actualizar nuestros dispositivos y aplicaciones de manera regular.
2. Ser conscientes de la importancia de las comunicaciones cifradas. Aunque cada día es menos habitual, aún quedan numerosas páginas webs cuya comunicación no es cifrada y los datos que depositemos pueden estar accesibles. Un ejemplo cotidiano puede ser el de enviar una postal sin sobre, cuyo contenido puede leer cualquiera. En este sentido, también debemos tener en cuenta la importancia del cifrado de nuestros dispositivos: Cualquier dispositivo móvil (Android, iPhone, Linux, MacOs, Windows) dispone de herramientas gratuitas para cifrar su contenido incluidas en el propio sistema operativo. En caso de robo, el saber que nadie va a poder acceder a su contenido es toda una garantía.
3. Lo más importante: nuestras credenciales. No debemos utilizar las mismas credenciales en todos los sitios web a los que accedamos, ya que, si estas webs sufren una brecha, nuestras credenciales estarán comprometidas. La recomendación es clara, cambiarlas de forma periódica y habilitar un doble factor de autenticación, cada vez más esencial. Y, por supuesto, no utilizar nuestra cuenta de correo electrónico profesional y contraseña profesional en webs y servicios no corporativos.
4. Realizar periódicamente copias de seguridad. Los dispositivos se estropean y la obsolescencia programada es una realidad. Debemos hacer copias de seguridad para evitar situaciones desagradables.

Sigue leyendo.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el propósito de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se borra cuando todas las ventanas del navegador se cierran.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin de Consentimiento de la Cookie de RGPD y es usada para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__stid	0	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	0	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_ls	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_svref	0	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_ga	0	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y para hacer un seguimiento del uso del sitio para el informe analítico del mismo. Las cookies almacenan información de forma anónima y asignan un número generado al azar para identificar a los visitantes únicos.
_gat	0	1 minute	Estas cookies son instaladas por Google Universal Analytics para reducir la tasa de solicitudes y limitar la recolección de datos en sitios de alto tráfico.
_gid	0	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información de cómo los visitantes utilizan un sitio web y ayuda en la creación de un informe analítico de cómo el sitio web está funcionando. Los datos recogidos incluyen el número de visitantes, la fuente de donde vienen y las páginas visitadas de forma anónima.
ad-id	1	6 months	Proporcionado por amazon-adsystem.com para el seguimiento de las acciones de los usuarios en otros sitios web para proporcionar contenido específico
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0
audience	0	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
demdex	0	5 months	Esta cookie se establece bajo el dominio demdex.net y es utilizada por Adobe Audience Manager para ayudar a identificar un visitante único a través de los dominios.
dextp	0	5 months	Cookie establecida por el gerente de audiencias de Adobe. Las cookies almacenan un nombre o ID de proveedor de datos y una marca de tiempo UTC de UNIX. El propósito de la cookie es registrar la última vez que hizo una llamada de sincronización de datos.
GPS	0	30 minutes	Esta cookie es establecida por Youtube y registra una identificación única para rastrear a los usuarios en base a su ubicación geográfica
idsync-qs	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-uuid	0
lsdStats	0	3 months
pbw	0	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	0	1 year	Cookie para recoger información con fines publicitarios
pid	0	1 year	Ayuda a los usuarios a identificarles y les permite utilizar funciones relacionadas con Twitter de la página web que están visitando.
pxcelPage_c010	0	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_cc	0		Esta cookie es establecida por Adobe Analytics. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.
s_fid	0	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	0	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_nr	0	4 weeks	Esta cookie es establecida por Adobe Analytics con el propósito de almacenar las fechas en que los usuarios visitan el sitio web y si el usuario es un visitante nuevo o recurrente.
s_vnum	0	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	0	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookie	0		Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	0	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	0	2 months
UIDR	0	1 year	Esta cookie se establece bu scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios a través de Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y puede que los datos se envíen a terceros para su análisis e informe, con el fin de ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
YSC	1		Estas cookies son establecidas por Youtube y se usan para rastrear las vistas de los videos incrustados.
zc	0	9 years

Cookie	Duración	Descripción
__stid	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb_svref	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg
audience	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-qs		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
lsdStats	3 months
pbw	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	1 year	Cookie para recoger información con fines publicitarios
pxcelPage_c010	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_fid	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_vnum	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	2 months
zc	9 years

Sala de Prensa