Espero que para cuando estés leyendo esto, no te encuentres frente a una verdadera brecha de seguridad, sino más bien en plena edificación propia, durante un momento de relativa paz y tranquilidad. Si la gente allí afuera está realizando búsquedas en Internet sobre “qué hacer tras una brecha” para saber cómo reaccionar ante una emergencia, sospecho que los problemas relacionados a la seguridad informática solo son un síntoma de sus conflictos profesionales. Hayas sido víctima de piratería o no, el mejor momento para comenzar a diseñar y practicar tu respuesta ante una brecha es previo a que el ataque sea descubierto. No existe momento como el presente para comenzar a prepararte para una emergencia.
Tras examinar el reciente Global Information Security Survey de Ernst & Young, parecía claro para mí que la falta de preparación ante situaciones como la de una brecha de datos es un problema muy común para todo tipo de organizaciones. De acuerdo con los encuestados, el 56% dice ya haber hecho cambios en sus estrategias de negocio para contemplar los riesgos que representan las amenazas cibernéticas, o estar prontos a hacer las revisiones. Sin embargo, solo el 4% de las organizaciones confían en que han tomado en consideración toda la información sobre las implicancias en seguridad de sus actuales estrategias y que su panorama de riesgo incorpora todas las amenazas relevantes. Mientras esto podría, en parte, referir a la complejidad del panorama de amenazas, evidencia también que hay muchísimas organizaciones que se sienten abrumadas por la enormidad de la tarea.
De hecho, el 35% de los encuestados describe sus políticas de protección de datos como muy limitadas o inexistentes. Aunque la mayoría de las organizaciones llevan adelante algunos procesos para determinar si han sido atacadas (solo el 12% no tenía un programa de detección de brechas), muchas de ellas pueden estar confundidas acerca de sus responsabilidades legales: el 17% de los encuestados dice que no notificaría a sus clientes, incluso si una brecha afectó información de ese grupo de individuos, y el 10% no los notificaría incluso si se vieran directamente impactados. Hay pocos países donde esto no resultaría en multas regulatorias o legales potencialmente catastróficas, sin mencionar la pérdida de confianza de los clientes.
La manera más lógica, ética y moral de lidiar con el riesgo, es evitar mantenerse en silencio acerca de ello, esperando que nadie lo note. Para adaptar el viejo dicho a nuestros fines: la mejor manera de comerse una ballena es hacerlo de a un bocado por vez, no intentar esconderla debajo de la alfombra hasta que el hedor de su cuerpo haga que todos huyan.
Tomarse el tiempo para pensar de manera lógica y deliberada sobre tus activos puede ayudarte a determinar qué necesita asegurarse. Prepararse para lo peor puede serte de utilidad para ver cuál es la mejor manera de actuar para prevenir esas emergencias en el presente.
Seguramente todos hayamos visto alguna variación sobre el tema en los Anuncios de Servicio Público, donde se nos incita a preparar un kit de cosas útiles en una emergencia, ya sea un incendio, un terremoto o en medio de una tormenta de nieve si se rompe nuestro auto. Mientras la pérdida de datos puede no ser “de vida o muerte” como estas otras situaciones, eso no significa que debamos posponer el asunto hasta encontrarnos en medio de una emergencia.
Crear una respuesta modelo por adelantado le permitirá al personal de emergencia focalizarse en proveer información precisa y que se mantenga actualizada.
Habiéndonos despedido de 2017 recientemente, debemos admitir que este último año ha traído suficientes ejemplos dolorosos de compañías respondiendo de manera poco óptima a sus propias brechas, lo que trajo consecuencias mucho más severas para su reputación. Como con todo tipo crisis, cuanta más información y cuidado tengas mientras te adentras en la crisis, menos abrumador y doloroso será sobrellevarla. Esto se mantiene ya sea si eres el principal objetivo del ataque o un cliente cuya información fue robada.
Aquí presentamos algunas cosas a tener en cuenta cuando organizas tu kit para prepararte ante una crisis:
Haz una lista de pasos a seguir y mantenla actualizada
Esta lista es similar a la información que le darías a una niñera. ¿A quién deberías contactar en caso de una emergencia? ¿En qué orden? ¿Qué acciones deberían llevarse a cabo? ¿En qué situaciones? Este post, escrito por mi estimada colega Denise Giusto Bilić, puede ayudarte a entender el tipo de acciones que necesitan ser completadas, lo que puede luego ser adaptado a las necesidades de tu propia organización.
Esa lista necesita ser actualizada regularmente a modo de evitar seguir dando instrucciones para procesos que ya no existen, o pedir al personal de emergencia que contacten a alguien que se ha ido a otra posición, dejado la compañía, o que está de vacaciones. Debe mantenerse (cifrada, para protegerla de las miradas de los criminales, ¡por favor!) en algún sitio fácil de hallar y revisar, para que la gente no tenga que gastar su tiempo luchando por desenterrarla.
Mensajes informativos
Para sorpresa de pocos, los mensajes que anuncian malas noticias son una tarea delicada y sensible. Probablemente, no sea algo que quieras delegar a otro en medio de una situación caótica, y es algo que definitivamente deberías formular en conjunto con tu departamento de legales o con un abogado que posea experiencia en leyes de Notificación de Brechas de Seguridad. Crear una respuesta modelo por adelantado le permitirá al personal de emergencia focalizarse en proveer información precisa y que se mantenga actualizada.
Muchas compañías se equivocan al esperar para notificar a la gente hasta que finalicen las investigaciones, lo que tiende a dejar a los clientes con una sensación de resentimiento. Incluso antes de tener la información completa sobre lo ocurrido, puedes hacerle saber a tus clientes que ha habido un problema, para darles la posibilidad de seguir los pasos para protegerse. No sobreestimes el poder de las actitudes positivas que pueden generarse con solo actualizar regularmente a tus clientes afectados, incluso si esos documentos no brindan nueva información. Basta decir que es una buena idea revisar cada texto con algún editor para no acabar enviando algo que aún posea los textos de prueba que rellenan el espacio.
Recuerda que los clientes suelen ver las brechas de seguridad como brechas en la confianza; debes mantenerlos actualizados regularmente con información del día a día para reconstruir esa confianza.
Sitios web de respuestas a brechas
Como con un modelo de mensaje, es una buena idea tener un sitio web establecido y guardado, (casi) listo para lanzarse, en función de tener ya resuelto el trabajo pesado. Esto ahorrará tiempo y reducirá errores potenciales, dado que puedes hacer un análisis exhaustivo y realizar pruebas de código, así como ocuparte de la claridad de tu texto en un momento previo a la brecha, cuando es de suponer que todos mantienen aún la calma. Independientemente de si eliges utilizar un dominio apartado o solo una página dentro del sitio existente, toma esta decisión de antemano y comunícala de forma clara cuando surja una emergencia. Es una buena idea mantener la URL lo suficientemente corta para que sea sencilla de enviar mediante variadas plataformas de mensajería distintas, o de leer en breves clips de radio o televisión. Probablemente resulte una buena idea registrar cualquier dominio que suene similar o al que pueda incluirse un error de tipeo con el fin de reducir el phishing y los scams de los criminales.
Como con todo tipo crisis, cuanta más información y cuidado tengas mientras te adentras en la crisis, menos abrumador y doloroso será sobrellevarla.
Medidas de protección al cliente
Tras las brechas de seguridad, las compañías suelen ofrecer medidas de seguridad mejoradas a sus clientes, para ayudar a mitigar cualquier daño que pueda haber sido causado. En el caso de verificación de crédito, sí tiene sentido ofrecerlo luego de que un ataque haya ocurrido. Pero si estás preparado para ofrecer algo como mejores opciones de autenticación tras una brecha, puedes ahorrarte el costo significativo de la pérdida de reputación añadiendo estas opciones antes de que ocurra el problema. Implementar y publicitar el uso de la seguridad, y las medidas tomadas para mejorar la privacidad, pueden hacer la diferencia en el mercado para aumentar la confianza en la marca. La mayoría de la gente podría no entender el Salting & Hashing o la Segmentación de Red, pero sí apreciarían saber que ningún otro puede acceder a sus contraseñas o a otra información sensible.
Pon a prueba tus políticas y procedimientos
Una o dos veces al año, prueba tu programa de respuesta a las brechas de seguridad mediante la simulación de un incidente, y atraviesa los pasos de respuesta a un incidente de prueba, exceptuando, claro, el envío de la notificación a los clientes y otras organizaciones externas. Algunos negocios ya realizan esto en conjunto con consultores de manejo de crisis. Incorporando algunos escenarios de casos de estudio de las brechas de seguridad de otras compañías puede hacer de la tuya una más realista, y ser útil para preparar mejor a tu negocio. Ten en cuenta que estas pruebas probablemente te llevarán a considerar algunos cambios en tus políticas y procedimientos; de hecho, es deseable hacer (y volver a probar de manera rigurosa) modificaciones bien pensadas que se amolden a tu ambiente. Una vez que pongas en práctica estas ideas, podrías encontrar formas de hacer que tu respuesta ante emergencias sea más efectiva y eficiente.
No hay negocios muy grandes ni muy pequeños para ser objetivo de ataques. Si tienes cualquier tipo de información que sea de valor para alguien - independientemente de si entiendes cómo puede esa información monetizarse o servir como arma – existe allí afuera un criminal que estaría feliz de robarla. Ya hace tiempo que hemos pasado el punto en que las compañías deberían preguntarse si podrían ser vulneradas; ahora es cuestión de cuándo. Al tomarse el tiempo para estar preparado ante ese tipo de emergencias, tu negocio será capaz de superar la tormenta.