La comunicación importa, especialmente durante un incidente de seguridad

Los incidentes de seguridad informática están aumentando drásticamente en todos los sectores, mientras que las comodidades comunicacionales modernas nos vuelven más vulnerables a riesgos.

Considere la violación de seguridad de Target, que expuso los datos de tarjetas de crédito de 40 millones de clientes durante la temporada de compras festiva de 2013, o el incidente de eBay, que fue el resultado de un ataque de ingeniería social que dejó como resultado que los registros de más de 100 millones de usuarios quedaran comprometidos.

¿Y si una violación de seguridad semejante ocurriera a alguien afiliado a su organización, como por ejemplo un miembro de la junta directiva? Imagine que su empresa ha sufrido un posible incidente de seguridad. Los registros pueden haber quedado comprometidos, pero usted no tiene la certeza. De hecho, ni siquiera está seguro de si hubo una intrusión en la red. Quizás un empleado ingresó a una base de datos sin autorización.

Cuando ocurre un incidente, la reacción a menudo es denunciar “violación de datos”, lo que se notifica a — y es repetido por— la junta directiva. Esa frase, expresada públicamente por alguien de importancia e influencia corporativa fuera de contexto, podría crear un efecto de bola de nieve en las relaciones legales y públicas, así como en los pasos de cumplimiento, que podría terminar teniendo un altísimo costo para la empresa.

Por qué el lenguaje es tan vital

Cuando se analiza una supuesta situación de seguridad, a menudo se usa la palabra violación. Sin embargo, cuando muchas personas escuchan la palabra violación, la gente tiene la tendencia a asumir lo peor — robo de información crediticia, por ejemplo, lo que pone en riesgo los balances bancarios. Aunque esto fue lo ocurrido a Target, que requirió la presentación de denuncias, el reemplazo de tarjetas de crédito y el seguimiento de la actividad, no todas las violaciones tienen este alcance. Por ejemplo, en el caso de eBay, la solución consistió en el cambio de una contraseña.

La clave para controlar la publicidad generada alrededor de tales violaciones de seguridad frecuentemente se encuentra en adelantarse a la historia y asegurar que cualquier uso de la palabra violación venga acompañado de disculpas e información clara sobre los pasos que una empresa está tomando para solucionar el problema.

“Aplicar un modelo de crisis típico no funciona para los ataques modernos”, señala la International Association of Privacy Professionals. “Sea cauteloso al afirmar que el problema se resolvió completamente, sea cauteloso al comunicar números”, porque una de las peores cosas que puede ocurrir es que los miembros de la junta directiva aseguren públicamente a los clientes que la situación se controló, solo para que después se descubra que es peor de lo que parecía.

Considere otras palabras

¿En qué formas deben reaccionar las organizaciones ante un incidente de seguridad? Durante un análisis en un panel en la Enfuse Conference 2016, expertos como Ed McAndrew, quien trabajó en el Departamento de Justicia de EE.UU., estuvo de acuerdo en que violación es una palabra con demasiada carga, que no se debería usar debido al pánico y los aspectos legales que se desencadenan. A menos que sea la persona que investiga la amenaza, usted no sabe cuáles son los puntos exactos comprometidos, y al usar la palabra violación podría estar suministrando información falsa.

“Hay otros tipos de incidentes de seguridad, como la personificación, denegación de servicio y modificación de sitio web que no involucran el robo de datos personales sensibles y son muy diferentes desde la perspectiva de las leyes y para fines del cumplimiento de las normas”, escribió Kate Brew para el blog de Alien Vault.

En lugar de ello, las organizaciones deben considerar usar términos tales como incidente o evento, que están menos cargados que la palabra “violación”. Incluso estos términos tienen distintos significados.

• Violación de seguridad involucra datos robados o comprometidos y tiene consecuencias legales.
• Incidente de seguridad es “un evento que viola la seguridad o políticas de privacidad de una organización e involucra información sensible como números del seguro social o información médica confidencial”, de acuerdo con la publicación de Mahmood Sher-Jan para ID Experts.
• Evento de seguridad es “cualquier acontecimiento observable en un sistema o red”, según el National Institute of Standards and Technology.

Las organizaciones no están obligadas a notificar a las autoridades competentes o el público sobre los incidentes de seguridad. Sin embargo, una violación de datos sí se debe notificar. En EE.UU., 47 estados, así como Washington, D.C., Guam y Puerto Rico, tienen leyes que exigen que las empresas notifiquen cualquier violación de datos que comprometa información de los consumidores, de acuerdo con la National Conference of State Legislatures.

Siempre se requiere un proceso transparente

Al revisar retrospectivamente violaciones de datos muy publicitadas, queda claro que las organizaciones que proceden con un proceso continuo y transparente generan más confianza en el público. Cuando los miembros de la junta directiva hablan sobre información en torno a un incidente de seguridad, deben abordar la situación con la debida precaución. En lugar de comunicar toda la información que se perdió o robó, explique el impacto en el público y en la organización. Además, al público se le debe informar qué debe hacer para mantener seguras sus cuentas. Finalmente, al hablar en nombre de la organización, los miembros de la junta directiva deben usar términos que representen claramente el incidente como lo presenta el personal de TI y seguridad y no salirse del guion con términos genéricos como violación de datos.

Es vital para una organización comprender los matices de la seguridad informática y los distintos roles que los diferentes departamentos deben desempeñar en estas situaciones. Mientras más sepan y comprendan que las palabras importan, más probabilidad tendrán de estar en capacidad de tomar las acciones adecuadas que puedan significar ahorros para la empresa en términos de reputación y costos.