Ciberseguridad: Cómo debe el CISO comunicar internamente un ciberataque en la empresa

El ciberataque que ha secuestrado alrededor de 250.000 equipos en 150 países diferentes desde el pasado viernes ha llevado a muchas empresas a tomarse en serio por primera vez la ciberseguridad. Grandes corporaciones como Telefónica en Madrid, Renault o la estadounidense FedEx, y organismos como el Ministerio del Interior ruso o el servicio de salud nacional británico, han visto sus sistemas comprometidos por un ransomware que los ciberdelincuentes habrían utilizado para cometer fraude económico solicitando un rescate.

Wanna Cry logró secuestrar los equipos explotando una debilidad de Windows que la NSA guardaba como parte de biblioteca de brechas de seguridad útiles para el ciberespionaje, y que WikiLeaks sacó a la luz. Al parecer, esa debilidad sería la que ahora han explotado los hackers, tal y como ha verificado Microsoft en su blog.

Aunque Microsoft ya había parcheado el agujero de seguridad, las empresas que no habían incorporado el parche a sus sistemas quedaron completamente expuestas a este software malicioso que ha protagonizado el mayor ataque informático del a historia.

La ciberseguridad se convierte en prioritaria para empresas e instituciones tras el incidente Wanna Cry

En un buen número de empresas han tenido que afrontar grandes retos con la amenaza de Wanna Cry a sus sistemas. Una buena dosis de realidad a un problema, el de la ciberseguridad, que no siempre se toma en serio.

Pongámonos por un momento en el papel del CIO (Chief Information Officer) o el CISO (Chief Information Security Officer) de una gran empresa que debe comunicar internamente un incidente como el ciberataque que ha tenido lugar estos días. ¿Cómo informar al personal de la empresa y movilizar a los trabajadores para que se pongan manos a la obra? O lo que es todavía más delicado, ¿cómo transmitir la información a directivos y ejecutivos en la Junta?

La comunicación es la mejor arma de la que dispone el jefe de seguridad de la información, si actúa de forma adecuada.

¿Cómo gestionar la comunicación interna con los empleados en caso de ciberamenaza?

Los empleados pueden jugar un papel determinante en una crisis. Si eres el CISO (u otro cargo con las mismas responsabilidades), estos consejos te pueden ayudar a afrontar la comunicación del incidente.

·         Sé conciso: habla claro, sin rodeos. No ahondes demasiado en datos superfluos. A menos que sea estrictamente necesario, no es el momento de instruir a los empleados sobre conceptos técnicos de informática, ciberseguridad, etc.

·         Oriéntales en las acciones necesarias: si los empleados o una parte de la plantilla debe hacer algo en concreto para ayudar a controlar la amenaza, debes especificarlo detalladamente, y paso a paso. No des por supuesto que los empleados conocen los procedimientos.

·         Minimiza el ruido: explica detalladamente cuáles son los eventos o alertas que deben comunicar.  De lo contrario podrías sufrir una avalancha de alarmas sobre cuestiones irrelevantes que en otro contexto pasarían desapercibidas por los propios empleados.

·         Mantén las líneas de comunicación abiertas: poner demasiado énfasis en minimizar el ruido no implica cerrarse a la comunicación abierta con el personal. Los empleados deben saber que hay una buena disposición a escucharles desde arriba, y que sus observaciones y sus ideas serán tenidas en cuenta.

Pero los empleados no son los únicos a quienes hay que dirigir la comunicación...

¿Cómo transmitir la información a la alta dirección ante un ciberataque?

Más delicado aún es gestionar la comunicación en la C-suite, a los directivos de la empresa. En este caso, el CISO puede sentirse presionado, dado que su papel recibe todos los focos de atención.

Además, el desconcierto de algunos gerentes o directivos poco familiarizados con IT puede aumentar el nerviosismo del CISO. Especialmente en organizaciones que no acaban de dar el paso hacia la transformación digital.     

En esos casos, los siguientes puntos puede servirte de guía:

1.      Recaba la información esencial: debes actuar rápido; pero aun así tendrás que mostrar datos, hacer un análisis de los daños o de las potenciales amenazas. Elige cifras y estadísticas comprensibles, que el resto de miembros de la junta pueda poner en contexto y entender con facilidad.

2.      Sé claro: evita la jerga técnica. Probablemente tu público en la junta está mucho más orientado al negocio que a IT. Traduce la información a un lenguaje económico o comercial, mostrando las consecuencias en términos de negocio.

3.      Busca apoyos: en una situación ideal, existiría una comisión de ciberseguridad con miembros de la junta designados y preparados para hacerse cargo de las tareas programadas. Pero el CIO o el CISO suelen estar muy solos en algunas organizaciones. Si es el caso, busca a alguien en la junta con un perfil afín a IT, apóyate en él o en ellos no solo en la C-suite, sino también fuera de ella. Educar a todos los miembros de la sala es demasiado difícil cuando el tiempo apremia. Hacer partícipe del proceso a alguien más te ayudará en varios sentidos; también para ganar credibilidad frente a otros directivos y ejecutivos.

4.      Sé transparente: no minimices los riesgos ni los daños. Expón la situación con la máxima sinceridad posible. Los miembros de la junta deben saber la realidad: los desastres, las brechas de seguridad y los ciberataques son inevitables en el actual contexto de la economía digital. La cuestión no es si sucederá, sino cuándo sucederá. No se trata de buscar culpables; ahora es el momento de minimizar los daños y responder de forma eficaz.

5.      Pon sobre la mesa una estrategia clara de actuación: los cauces de acción deberían estar previstos de antemano. Tus compañeros de junta querrán saber si hay una estrategia de actuación, cuáles son las tácticas a emplear, etc. No te detengas demasiado en los problemas; expón la situación y pasa a exponer las posibles vías de actuación.

Y un último consejo. Probablemente el más importante: aprovecha la situación para concienciar de la importancia de la ciberseguridad en la empresa.

Una vez haya pasado el peligro será un buen momento para exponer planes de actuación y proyectos relacionados con la ciberseguridad que en otro contexto no recibirían los apoyos necesarios.

En plena era de la digitalización de las empresas y a las puertas de una gran revolución en lo que se refiere al IoT, la ciberseguridad es más que nunca un asunto que concierne a toda la empresa.