La mayoría de las compañías carecen de protocolos de comunicación en caso de un ataque
Los ciberataques a las empresas se han convertido un delito en auge. Con el continuo proceso de digitalización corporativa y la popularización del teletrabajo a raíz de la pandemia del Covid-19 se ha creado una situación en la que cada vez hay más empresas que tienen a más personas conectadas para realizar más tareas. Y en ese escenario, los hackers se encuentran como pez en el agua para poner a prueba la vulnerabilidad de las compañías.
Pero más allá del posible daño al negocio y a los sistemas informáticos las empresas están viendo penalizada su reputación, y no todas cuentan con mecanismos de prevención para reaccionar ante un cibercrimen. “En general hay un déficit en la preparación de las empresas frente a estos riesgos reputacionales, tanto a nivel interno como externo. Y debe haber un componente de prevención. Se necesita que dentro de la organización haya una conciencia, que todavía no la hay, ante la protección de la reputación cuando se sufre un ciberataque. Hay mucho camino que recorrer”, apunta Iván Pino, responsable del área de Crisis y Riesgos de la consultora LLYC.
Según explica el experto, los ciberataques a empresas tiene dos principales consecuencias en la reputación. En primer lugar, que se traduzca en un mal servicio a los clientes y, por otro lado, que trascienda a la opinión pública. Y es que, cada vez más son las empresas que se convierten en noticia por haber sido víctimas de criminales que operan en la red.
Una de las claves para evitar daños reputacionales es que las organizaciones tengan diseñados protocolos de comunicación. “Es una materia que habitualmente se queda en el ámbito de la tecnología, pero requiere de un tratamiento más holístico donde se incida en actuar con transparencia y urgencia. Debe haber una preparación con mensaje y comunicación a todos los grupos de interés: clientes, empleados, colaboradores, accionistas, proveedores. Requiere de trabajo y especialización”, explica Pino.
El objetivo, detalla el experto, es mitigar el riesgo reputacional hacia adentro y hacia afuera. Además, urge a crear una concienciación sobre el daño que causan los cibreciminales. “La imagen del hacker no se percibe como negativa. Necesitamos que esa imagen y los problemas que genera sea más peyorativa. Tiene que tener más presencia en la percepción de ciudadanos, masas y empleados”.
En ese sentido, el golpe reputacional será siempre menor en la medida en que la empresa sea capaz de conseguir que los clientes empaticen con la situación, ya que es la víctima. Igualmente, la compañía, por su parte, tiene que demostrar que está haciendo todo lo posible para evitar daños y subsanar el posible deterioro en cuanto a la operativa del negocio.
Según un estudio elaborado a nivel mundial por la empresa de seguridad Cybereason, el 80% de las compañías que pagan a los hackers por un rescate vuelven a ser atacadas. Además, el 46% de las organizaciones ha informado que durante el proceso de recuperación parte de los datos, o todos, se corrompieron.
Pino detalla que la empresa nunca debería acceder a pagar un rescate a los extorsionadores, una práctica que está siendo cada vez más habitual. De hecho, el pasado mes de mayo el operador gasista Colonial Pipeline pagó en torno a 4,13 millones de euros a una red de hackers de Europa del Este que había inutilizado su red informática de forma que impedía realizar los envíos de combustible.
“Muchas veces las empresas se ven en la disyuntiva de resolver la crisis para proteger la continuidad del negocio en el corto plazo u optar por la sostenibilidad del negocio, que eso afecta a la licencia social. Cuando se paga un soborno se produce un impacto negativo, ya que la empresa participa en el alimento de esa extorsión”, concluye el experto de LLYC.
Fases en la gestión de ciberriesgos
Prevención. Se trata de anticipar las amenazas, vulnerabilidades y riesgos de ciberseguridad para preparar las medidas necesarias que permitan eliminar o mitigar aquellos más perjudiciales.
Preparación. Consiste en controlar el impacto en la organización de los riesgos de reputación. Se trabaja sobre la evitación y mitigación diseñando procesos y guías para la gestión de los distintos escenarios de crisis cibernéticas.
Resolución. Responder a las crisis cuando se materializan los ciberriesgos. Aquí resulta determinante la capacidad de desplegar redes de influencia en las comunidades afines a la empresa.
Recuperación. Se orienta hacia el fortalecimiento de la resiliencia de la organización después de afrontar riesgos y crisis.