Los ataques informáticos contra empresas e instituciones se han multiplicado exponencialmente durante la pandemia y pueden poner en riesgo a nuestros stakeholders. Con ello, ha crecido la preocupación social y, también, la presión normativa para mejorar la preparación frente a esta seria amenaza. Pero ante un ciberataque ¿están realmente preparadas las empresas para afrontar una brecha de seguridad en sus sistemas operativos? ¿Cómo se está abordando este desafío en los equipos de comunicación de las empresas?
En el evento online “Ciberriesgos: Cómo afrontar un ciberataque protegiendo la continuidad y reputación del negocio”, organizado por LLYC en colaboración con IE Law School, Alejandro Touriño, Managing Partner en ECIJA, Guillermo Llorente, director corporativo de Seguridad en MAPFRE e Iván Pino, socio y director sénior de Crisis y Riesgos en LLYC han compartido las claves sobre cómo hacer ese despliegue de capacidades con un caso de referencia como es el de MAPFRE, destacado por la propia Agencia de Protección de Datos.
La seguridad, eje central en la gestión de un ciberataque
En agosto del año pasado la aseguradora MAPFRE sufrió un ciberataque que puso en riesgo la continuidad y servicio de la compañía. MAPFRE ha sido reconocida por la propia Agencia Española de Protección de Datos (AEPD) y premiada por la Asociación de Directores de Comunicación por su gestión realizada, aportando nuevos detalles sobre cómo la aseguradora se enfrentó a uno de sus momentos más difíciles de 2020.
Hay varias razones que explican estos resultados, según Guillermo Llorente, director corporativo de Seguridad en MAPFRE: la firma estaba «preparada» y sus sistemas y procedimientos estaban articulados gracias a «un área de seguridad de crisis, un grupo técnico especializado en tecnología para empezar las tareas de restauración y un tercer nodo en torno a los Comités de crisis, ya engrasado desde la pandemia”. Es decir, MAPFRE «disponía de medidas técnicas y organizativas razonables para evitar este tipo de incidente, lo que ha permitido la rápida identificación, análisis y clasificación de la brecha de seguridad«.
La comunicación, un aliado estratégico reputacional
Un impacto de esta magnitud no solo afecta a la continuidad de un negocio sino que también se ve afectado a nivel reputacional. Iván Pino, socio y director sénior de Crisis y Riesgos en LLYC señaló que las crisis de ciberseguridad ”tienen un impacto grave que afecta a los grupos de interés”. En este sentido, Iván ha explicado el modelo de reputación basado en cinco dimensiones: credibilidad, transparencia imagen, integridad y contribución.
Para Iván, la dimensión de la integridad (expectativas éticas) es una de las más cuestionadas “ahora comenzamos a dar la importancia que realmente tiene el crimen organizado y de todo el daño que hace a las empresas”. En este caso, puso de ejemplo el caso Axa en Francia, quienes tomaron la decisión de no incluir en sus seguros de ciberseguridad el pago de los rescates.
Además las dimensiones de imagen y contribución las cuales afectan a las empresas a través de las deepfakes y manipulaciones de la marca “la dimensión de credibilidad y transparencia afecta en mayor medida con la expectativa de los grupos de interés”.
En torno a esta última dimensión, Llorente añadió que “las empresas tienen que tomar una decisión si comunicar el ciberataque o no”. Recordemos que hasta la fecha el número de ataques que se habían hecho público eran muy limitado. En el caso de MAPFRE el Comité de crisis tomó la decisión de hacerlo público a sus stakeholders de manera firme y consciente.
En términos de reputación Guillermo también pone en valor el papel de la comunicación, más allá de tener un protocolo de gestión de crisis: “Mi experiencia personal es que jamás pensé que fuera tan importante, desde esa noche que tomamos la decisión de comunicar a socios y grandes clientes hasta las respuesta a más de una veintena de reguladores en todo el mundo jamás pensé que fuera tan trascendental en una crisis de este estilo la comunicación. Hay que mantener un flujo constante de comunicación con todas las personas que te preguntan y te demandan”.
Iván añade que “la gran complejidad es que cuando tu ves un manual de seguridad, el capítulo de comunicación realmente no significa comunicación, significa información; es decir, tengo que informar a determinada gente». En este sentido argumenta que en comunicación hay que gestionar esos escenarios que se pueden hacer complejos, de acción y reacción, y que condicionan la reputación completamente. Para Iván esto se evidencia a través de la coordinación en temas de ciberseguridad.
La regulación como paraguas ante la afectación del ciberataque
Durante el coloquio, se puso énfasis en que la ciberseguridad requiere también competencias de comunicación y jurídicas, que protejan del impacto reputacional negativo en los clientes, empleados y demás grupos afectados. Según Llorente “la aparición de las criptomonedas ha hecho que todo el entramado jurídico establecido no sea válido con la normativa actual y esto ha generado un crecimiento de los sujetos y organizaciones que se dedican a atacar empresas de manera exponencial”.
Por su parte Alejandro Touriño, Managing Partner en ECIJA ve un elemento clave en la percepción de los ataques y de las crisis que se producen en las entidades afectadas. En su opinión, “no hay que perder de vista que esa entidad más allá de poder afectar a sus stakeholders no deja de ser la víctima de un ataque generado por un tercero”.
El grado de exposición de todas las compañías en entornos digitales es cada vez mayor y hay estudios que demuestran que 1 de cada 10 empresas han sido objeto de ciberataque o al menos de intentos, un nuevo escenario donde cualquier previsión es importante ante un eventual ataque de terceros.
Según Touriño “cuando uno piensa en ciberseguridad se nos va la vista al tema de protección de seguridad de datos, precisamente por el impacto reputacional y sancionador del mismo”. Pero tal y como expone no solo la protección de datos da cobertura a la afectación del ciberataque, sino que son otras normas las que dan solución a esa tensión. Por ejemplo, la orbita penal juega un papel importante. En este sentido añade que “nos encontramos en el ordenamiento un conjunto de normas aplicables que pueden servir a los juristas para que, en función del ataque objeto, se pueda aplicar una u otra”.
En relación a si la norma es eficiente o no Touriño argumenta que “para testar la eficiencia de una norma hay que ver el resultado” aunque concluye que “son un instrumento más que pueden ayudar a conseguir un objetivo determinado”. En muchos casos la conclusión es que el ordenamiento jurídico es insuficiente, aunque en otros el resultado es positivo.
Los participantes han coincidido en que en el momento de un ciberataque la coordinación entre las áreas de seguridad, comunicación y legal son determinantes.
En conclusión, una buena estrategia de comunicación conjugada con la aplicación de la normativa legal pueden evitar el impacto de un ciberataque en la empresa.
Si te interesa saber más sobre ciberriesgos reputacionales, te invitamos a descargar: “Ciberriesgos y reputación: pautas para anticiparse.
