Blog FIDE
Por
Ciberriesgos de reputación: ¿preparados para la hipertransparencia?
Las carencias de ciberseguridad son todavía alarmantes, sobre todo en las medianas y pequeñas empresas, que componen la mayoría de nuestro tejido económico
En este mismo momento, se están produciendo millones de tentativas de ciberataques a empresas e instituciones de todo el mundo. Algunas de ellas son conscientes, están prevenidas y preparadas para defenderse. Otras muchísimas lo harán demasiado tarde, cuando ya se encuentren sus sistemas vulnerados, datos secuestrados y actividades paralizadas.
Las carencias de ciberseguridad son todavía alarmantes, sobre todo en las medianas y pequeñas empresas, que componen la mayoría de nuestro tejido económico. Pero mayor aún puede ser la falta de preparación de las organizaciones para comunicar las causas y efectos de estos riesgos a sus diferentes grupos de interés (clientes, empleados, proveedores, accionistas…).
Hasta hace poco, las deficiencias en comunicación resultaban más o menos considerables, pero dos circunstancias están acrecentando su relevancia en estos tiempos: una, el incremento e impacto en la opinión pública de los ciberataques en un contexto de aceleración digital por la pandemia, y dos, una creciente exigencia de transparencia en la nueva generación de regulaciones sobre la gestión de estas crisis cibernéticas.
Solo en las últimas semanas, todos hemos podido leer alguna noticia de ciberataques a empresas e instituciones como estas: “Uno de los mayores oleoductos de Estados Unidos suspende sus operaciones tras sufrir un ciberataque”; “Glovo sufre un 'hackeo' que expone los datos de clientes y repartidores en España”; “Una oleada de ciberataques tumba las webs del INE, Justicia, Economía y más ministerios”; “Ciberataque y chantaje a Phone House: roban y difunden datos de tres millones de clientes”.
El impacto de esta comunicación es enorme, con efectos en la continuidad del negocio y actividad a corto plazo, pero también con consecuencias a medio plazo en la reputación de las organizaciones y sus directivos, que serán valorados por lo que hagan y digan (o no hagan ni digan) antes, durante y después del ciberataque.
En eso consisten los ciberriesgos reputacionales. Son juicios colectivos sobre la conducta de las empresas y sus responsables ante situaciones que amenazan activos valiosos para sus grupos de interés. Valoraciones sobre la transparencia, integridad o contribución de las decisiones tomadas y ejecutadas (o no) que hacen los ciudadanos, autoridades, clientes o colaboradores. Y que pueden generar a las organizaciones actitudes de apoyo o de rechazo hacia su sostenibilidad o licencia social para operar.
Desde el punto de vista reputacional, podemos clasificar en cinco dimensiones los eventos de ciberseguridad que pueden poner en riesgo la valoración favorable de una organización, de acuerdo con el modelo de reputación Reputation Relevance, de LLYC.
- Dimensión imagen: los ciberriesgos de reputación pueden contradecir las expectativas emocionales o aspiracionales de los grupos de interés motivando que despierten sentimientos negativos sobre la empresa y sus marcas.
En esta dimensión, podemos encontrar los incidentes de ciberseguridad que se basan en la suplantación de la identidad digital de directivos de una empresa (como los 'deepfakes') y, también, aquellos usos no autorizados de las marcas de una organización que los vinculen a mensajes ofensivos o acciones peyorativas para sus clientes, empleados, proveedores e inversores.
- Dimensión credibilidad: los ciberataques pueden afectar a las expectativas pragmáticas de los grupos de interés impidiendo que la empresa cumpla con su promesa de valor, y provocando que no se sientan satisfechos con los servicios y productos prestados.
Aquí se sitúan eventos como los ataques de denegación de servicio (DoS) o los de 'ransomware', que impiden el acceso a las páginas web, correos electrónicos y sistemas informáticos necesarios para que los empleados gestionen y los clientes reciban los servicios y productos.
- Dimensión transparencia: los eventos de ciberseguridad también pueden comprometer las expectativas relacionales de los grupos de interés cuando perciben que la empresa los engaña sobre lo sucedido o que no les proporciona una información suficiente.
Sin duda, este es uno de los mayores riesgos de reputación en que se puede incurrir cuando se sufre un ciberataque. La tentación de ocultar los hechos puede ser fuerte cuando se piensa que todavía no se han hecho públicos, y más aún cuando existe la posibilidad de una fuga de información con datos personales.
Por eso, en este último caso, la legislación española obliga a notificar el incidente a la Agencia Española de Protección de Datos, autoridades pertinentes u organismos equivalentes, y a las personas cuyos datos se hayan visto afectados para que puedan tomar las medidas oportunas en un plazo máximo de 72 horas desde su conocimiento.
- Dimensión integridad: el comportamiento de la empresa ante una cibercrisis puede contravenir las expectativas éticas de los grupos de interés en el momento en que sospechen que no actúa de forma ejemplar o con la honestidad debida.
En esta clasificación pueden entrar las acciones de 'ingeniería social' que utilizan las identidades o marcas de una empresa para captar datos de forma fraudulenta ('phishing'). Y también todos aquellos actos de acoso y extorsión que utilizan perfiles falsos de la organización para amenazar con información dañina. Cuando la empresa no desvela y denuncia estas prácticas con celeridad, favorece comportamientos ilícitos y deshonestos en nombre de la compañía que pueden terminar empañando su propia reputación.
- Dimensión contribución: finalmente, los eventos críticos de ciberseguridad pueden quebrantar las expectativas sociales de los grupos de interés si ponen en cuestión la contribución positiva de la empresa a la mejora de la sociedad.
En esta categoría, podemos encontrar las incidencias relacionadas con el 'hacktivismo', que emplea diversos tipos de ciberataques para atraer y movilizar adeptos a determinadas causas políticas, sociales, ambientales o laborales.
En esta lógica reputacional se inscribe, por ejemplo, el debate sobre el pago de rescates a los cibercriminales para recuperar datos o sistemas secuestrados. ¿Qué prima más: las expectativas pragmáticas de las personas, como usuarios, o sus expectativas éticas, como ciudadanos? ¿Cuál es el impacto de ese riesgo sobre la sostenibilidad del negocio? Son las preguntas a las que se responde en una estrategia de respuesta en ciberriesgos de reputación. Cuestiones relevantes que llevaron, por ejemplo, a AXA Francia a eliminar de su cobertura de ciberseguros los rescates por 'ransomware', después de un debate en profundidad al respecto en el Senado de ese país.
Quizá por todo esto, los juristas esperan que las nuevas regulaciones sigan la estela del reglamento DORA de resiliencia operativa digital para el sector financiero, en el que se obliga a estas empresas expresamente a definir “una estrategia de comunicación en caso de incidentes relacionados con las TIC”.
Quizá, también, se está valorando que la comunicación transparente puede constituir una solución oportuna tanto para evitar esos riesgos, con una mayor concienciación de empleados y usuarios, como para mitigar su impacto y probabilidad de ocurrencia, penalizando socialmente con más severidad a los cibercriminales. En cualquiera de los casos, habrá que prepararse, más y mejor.
*Iván Pino, socio y director sénior de Riesgos y Crisis, LLYC.
En este mismo momento, se están produciendo millones de tentativas de ciberataques a empresas e instituciones de todo el mundo. Algunas de ellas son conscientes, están prevenidas y preparadas para defenderse. Otras muchísimas lo harán demasiado tarde, cuando ya se encuentren sus sistemas vulnerados, datos secuestrados y actividades paralizadas.