Despedimos el 2022 con un incremento del 28% de los ciberataques respecto al 2021, sobre todo a lo que a ransomware se refiere, según este artículo de BitLife media. Una cifra que pone en evidencia la necesidad de invertir en seguridad informática implementando soluciones que minimicen los riesgos de entrada de malware en un sistema. Somos conscientes de que ningún sistema es infalible, pero sí se ha demostrado que apostando por soluciones de ciberseguridad, se pueden disminuir las brechas de seguridad y vulnerabilidades de un sistema para evitar que un ciberdelincuente consiga entrar en la infraestructura informática de la empresa.
No obstante, en caso de ser víctimas de un ciberataque (que siempre hay la posibilidad, nada es imposible del todo), desde mayo de 2018, con la entrada en vigor del nuevo Reglamento de Protección de Datos, todas las empresas que sufren un ciberataque, disponen de 72h para comunicar, de manera oficial y pública, que sus sistemas de ciberseguridad (si es que los tenían, en muchos casos estos son inexistentes, obsoletos o están desactualizados), han sido vulnerados y han sufrido un ciberataque.
Esta comunicación es obligatoria siempre y cuando el ciberataque afecte a los derechos y libertades de sus usuarios.
Para las empresas, esta obligación e imposición, puede parecer desagradable, ¿a quién le gusta admitir que ha tenido un error de ciberseguridad poniendo en riesgo la información de sus usuarios? Creen que esto puede suponer un daño a su imagen y reputación de marca, pero no, sí saben cómo aprovecharlo.
Ninguna empresa está exempta de notificar que ha sido víctima de un ciberataque si ha puesto en riesgo los derechos y libertades de sus usuarios, entonces, se debe aprovechar para sacarle el mayor beneficio posible, cuando parece que está todo perdido. Ser ciberatacado es desagradable y frustrante, pero cuando se hacen las cosas bien (se tiene la seguridad informática al día, se dispone de una estrategia de ciberseguridad y se siguen los protocolos legales exigidos), no hay de qué preocuparse, todo es remediable.
A pesar de que la ley ya no lo permite, muchas empresas optan por “esconder” que han sido víctimas de un ciberataque, o notificar que el problema ha sido menos grave de lo que en realidad es. Por suerte o por desgracia (depende cómo se mire), las mentiras siempre terminan saliendo a la luz, es por eso, que siempre es mejor ser honesto con la gravedad del asunto, sobre todo ante los usuarios, para poder actuar en consecuencia.
A veces, dicen que dar demasiadas explicaciones puede traerte problemas mayores, pero cuando se trata de ciberataques, conocer de raíz de dónde viene el problema y explicar las barreras o brechas de seguridad que se ha saltado el ciberdelincuente para conseguir atacar tu infraestructura informática, significa que dispones de un equipo especializado que se dedica a encontrar soluciones eficientes al problema. Que asume su responsabilidad y trabaja para que no vuelva a suceder.
Los usuarios afectados pueden entender que hayas sido ciberatacado siempre y cuando les aportes una solución a la vulneración de sus datos, para que no pierdan la confianza en tu empresa. Notificar simplemente que has sido ciberatacado no les va a servir de nada, si no saben cómo proceder una vez sus datos se han visto expuestos y vulnerados. Apórtales las respuestas necesarias para que sepan cuál es la magnitud del problema referente a sus datos y qué pueden hacer para mantener su privacidad.
Explicar qué medidas de ciberseguridad tenías es esencial, pero sobre todo cómo vas a actuar a partir de ahora y qué soluciones nuevas vas a implementar para maximizar la seguridad de toda tu infraestructura informática y dispositivos con el fin de reducir los riesgos de un nuevo ciberataque.
La sinceridad, una buena comunicación y el aporte de soluciones, es la mejor manera de que un ciberataque no te arruine la reputación e imagen de marca.
Aquí un listado:
Y como punto extra, formaciones sobre seguridad informática para tus empleados. La concienciación es la base para minimizar los riesgos de entrada de malware provocada por errores de factor humano.
Además, disponer de un departamento interno o de un partner tecnológico especializado en ciberseguridad, te ayudará a tener una imagen de marca más seria respetable, demostrando al usuario que te preocupas por la seguridad de sus datos, minimizando las consecuencias de haber sufrido un ataque.
¿Cuán segura es en realidad tu empresa? En ESED te ayudamos a conocer el nivel de ciberseguridad de tu organización gracias a una auditoría gratuita. ¡Solicítala!