Cómo comunicar un incidente de seguridad

16 Sep 2019

Lo recuerdo como si fuera ayer: nuestro CEO me pidió que fuera a su oficina, pero que dejara el portátil y smartphone en mi mesa.

“Nos han hackeado“, me dijo sin rodeos. “La investigación sigue en curso, pero podemos afirmar que un atacante muy sofisticado y patrocinado por el estado se ha adentrado en nuestro perímetro”.

Si soy sincero, no me pilló por sorpresa. Nuestros especialistas se han estado enfrentado a las brechas de seguridad de nuestros clientes tanto tiempo que, como compañía de seguridad, éramos un objetivo particular. Aun así, resultó muy desagradable: alguien había penetrado en las ciberdefensas de una empresa de seguridad de la información. Aquí encontrarás toda la información. Hoy me gustaría hablar sobre una de las preguntas que surgieron de inmediato: “¿Cómo lo comunicamos?”.

Cinco etapas para aprender a vivir con ello: negación, ira, negociación, depresión y aceptación.

Antes del RGPD las organizaciones podían elegir si comunicar el incidente públicamente o negar lo sucedido. Pero esto último no era una opción para Kaspersky Lab, una empresa de ciberseguridad transparente a favor de una divulgación responsable, por tanto, tras un consenso en la directiva, comenzamos a prepararnos para el comunicado. ¡En marcha!

Era lo que teníamos que hacer, sobre todo viendo la fisura geopolítica, pues sabíamos que las potencias que estaban detrás del ciberataque utilizarían la brecha contra nosotros; solo desconocíamos el cómo y el cuándo. Comunicando nosotros la brecha, no solo los privamos de esta oportunidad, sino que también utilizamos el caso a nuestro favor.

Dicen que hay dos tipos de organizaciones: las hackeadas y las que no saben que han sido hackeadas. En esta industria el paradigma es simple: una empresa no debería ocultar una brecha. De hecho, resulta más vergonzoso no informar al público, ya que esta situación podría amenazar a la ciberseguridad de socios y clientes.

Bueno, volvamos a nuestro caso. Una vez establecidas las partes involucradas (el departamento de seguridad de la información y el jurídico frente el servicio de atención al cliente, marketing, ventas y comunicación), comenzamos a preparar el mensaje oficial y un informe de preguntas y respuestas, el Q&A. Mientras, los expertos del GReAT (Equipo de análisis e investigación global) de Kaspersky continuaban con la investigación; los miembros del equipo involucrados dirigían todas las comunicaciones mediante canales cifrados para evitar que se comprometiera la investigación. Solo cuando tuvimos la mayoría de las respuestas del Q&A nos sentimos preparados para hacerlo público.

Como resultado, varios medios de comunicación publicaron casi 2000 artículos sobre una noticia que iniciamos nosotros mismos. La mayoría (el 95 %) fue neutral, solo un pequeño porcentaje (menos del 3 %) dio una cobertura negativa sobre el tema. Resulta comprensible, ya que fuimos nosotros, nuestros socios e investigadores de seguridad los que, trabajando con la información correcta, dimos a conocer la noticia a los medios. No tengo las estadísticas exactas, pero por cómo reaccionaron los medios a la historia del año pasado de un ataque ransomware contra Hydro, el gigante noruego del sector del aluminio,  parece que esta noticia no se gestionó de la forma correcta. Por tanto, la moraleja es que no hay que ocultar información.

No solo hemos aprendido la lección, también hemos avanzado

La buena noticia es que gracias al ciberataque del 2015 descubrimos no solo las capacidades técnicas de los actores de ciberamenazas más avanzados, sino también a cómo reaccionar y comunicar una brecha.

Tuvimos tiempo de investigar el ataque de forma minuciosa y aprender de él. Pasamos por las etapas de ira y negociación, es decir, preparamos a la empresa para lo que íbamos a comunicar al público. Y durante todo ese tiempo, la comunicación entre los colegas de ciberseguridad y los expertos de comunicación corporativa seguía en curso.

Ahora el plazo de preparación para este tipo de comunicados se ha acortado drásticamente: por ejemplo, el RGPD requiere que las empresas que operan con datos de clientes no solo informen a las autoridades sobre las brechas de seguridad, sino que además lo hagan en 72 horas. Además, si una empresa sufre un ciberataque deberá estar preparada para dar a conocer la información al público inmediatamente después de notificar a las autoridades.

“¿Con quién debemos comunicarnos dentro de la compañía? ¿Qué canales podemos utilizar y cuáles debemos evitar? ¿Cómo debemos reaccionar? Estas y muchas otras son las preguntas que tenemos que responder durante la investigación. Es posible que no puedas solucionar estas preguntas por ti mismo en el poco tiempo que tienes a tu disposición, por ello toda esta información y nuestra valiosa experiencia constituyen la base del servicio Kaspersky Incident Communications.

Además de una formación estándar por parte de especialistas certificados en comunicación que ampara la estrategia y el asesoramiento sobre comunicados externos, el servicio ofrece la oportunidad de aprender de nuestros expertos del equipo GReAT, que disponen de información actualizada sobre herramientas y protocolos de comunicación y que pueden aconsejarte sobre cómo comportarte en caso de brecha.