Cómo cuidar tus modales cuando …



A pesar de lo aterrorizado que pueda estar ante un ciberataque, mantener la calma y, quizás lo más importante, responder de manera adecuada es basic para limitar el daño.

Pocas cosas provocan mayor temor que el momento en que una organización se da cuenta de que ha sido violada. Imagínese a los ejecutivos sumidos en el pánico y los equipos de seguridad luchando locamente mientras evalúan la situación e intentan limitar el daño. Y no es de extrañar por qué: una infracción puede resultar costosa, a menudo por una suma de decenas de millones de dólares, destruir la reputación de una marca (si no la marca en sí) y dar lugar a enormes sanciones regulatorias.

Cuando se generate una infracción, la forma en que actúan y reaccionan los equipos tiene mucho que ver con la rapidez y la facilidad con que una organización vuelve a la normalidad.

«No es una cuestión de si habrá dolor y daño. Es una cuestión de cuánto», dice Alan Silberberg, director ejecutivo de Digijacks, una empresa consultora de ciberseguridad que asesora sobre gestión de disaster.

No se equivoque: la etiqueta importa. Aunque un escenario típico de incumplimiento puede parecer muy alejado de una columna de consejos de «Miss modales», hay conclusiones importantes sobre cómo gestionar los eventos y emitir una mea culpa.

«La forma en que reacciona y se comunica es fundamental», dice David Burg, líder de ciberseguridad para las Américas de EY.

Aquí hay cuatro reglas de etiqueta para sortear una infracción.

Regla de etiqueta n. ° 1: Comprenda las reglas de compromiso
Si bien una infracción cibernética y comer fuera pueden parecer mundos separados, considere las similitudes: primero, dice Burg, debe saber qué se está sirviendo y qué respuesta es apropiada. Comer en un carrito de comida no es lo mismo que ir a un restaurante de 3 estrellas Michelin.

«Hay un conjunto completamente diferente de expectativas y estándares sobre cómo te vistes, cómo te comportas y cómo comes tu comida», dice.

En el mundo empresarial, una empresa de servicios financieros o un proveedor de atención médica que tiene estrictas los requisitos de información debe manejar una brecha de manera diferente a un restaurante o una empresa de suministro de plomería. Sin embargo, esto no significa que una tienda common obtenga un pase gratis.

También es necesario comprender la naturaleza de la intrusión.

«Podría ser malicioso pero de alcance limitado, o podría ser una violación masiva», dice Burg.

Sugiere determinar primero si el problema es perjudicial o simplemente vergonzoso.

«En algunos casos, puede ser PII o un secreto comercial que ha sido robado en pequeñas cantidades», señala Burg. «En otros casos, puede estar lidiando con un ataque masivo de ransomware o malware destructivo, como un ataque Stuxnet».

Etiqueta Regla # 2: Di lo que sabes
Durante el período inmediato posterior a una infracción, es very important moverse rápido, pero no tropezarse. Un problema común, dice Silberg, es la entrega de información inexacta e ineficaz, que solo sirve para aumentar la confusión y sembrar desconfianza.

«Es basic conocer el alcance de una infracción y comunicarlo de forma clara y precisa. Si no lo sabe, diga lo que sabe y proporcione una actualización más tarde», dice.

Esto puede ser complicado, por supuesto. En algunos casos, una organización puede querer evitar revelar demasiado por temor a ofrecer a los delincuentes un system de cómo aumentar los ataques en el futuro. Si el evento es vergonzoso, puede ser tentador intentar esconderlo bajo la alfombra, especialmente si no existen requisitos reglamentarios.

Pero esto no hace que el problema desaparezca. Por un lado, las noticias pueden eventualmente filtrarse. Por otro lado, «puede crear un problema mayor y aumentar el riesgo de acciones legales, incluidas las demandas de socios y clientes», explica Silberg.

La conclusión es estar a la vanguardia de los mensajes, decir lo que sabe y evitar discutir lo que no está claro, dice.

«Está bien decir que no está preparado para hacer una declaración todavía otra cosa es parecer evasivo o mentir», dice Silberg.

Buena comunicación gira en torno a cómo, cuándo y cuánto, agrega Burg.

«Desea poder concentrarse en lo que sucedió y tener un alto grado de confianza en que está comunicando información precisa», dice.

Regla de etiqueta n. ° 3: Sea ético y sincero
Al igual que con cualquier problema relacionado con la etiqueta, es necesario cumplir con obligaciones éticas y mostrar respeto por los afectados negativamente. Esto incluye socios comerciales y clientes. Las disculpas sinceras son importantes. Las acciones poco sinceras suelen cavar un agujero más profundo. Por ejemplo, ofrecer un cupón o lanzar un código de descuento probablemente no convencerá a nadie de que realmente le importa. De hecho, puede ser contraproducente.

«Puede parecer que simplemente estás tratando de comprar lealtad», advierte Silberg.

La capacidad de cumplir con las reglas escritas y no escritas es esencial. Un sólido approach de respuesta a disaster hace esto posible. Minimiza el riesgo de conflictos territoriales y conflictos internos que pueden ocurrir cuando los tornillos se aprietan y la presión aumenta. Un buen plan abarca todo, desde el rol de la junta y la alta dirección hasta cómo navegar los problemas de TI, el seguro cibernético y las comunicaciones. Idealmente, involucra a especialistas senior de TI, expertos en seguridad, expertos legales y especialistas en comunicaciones.

Un strategy sólido explain los roles y responsabilidades, pero también ofrece pasos contextuales específicos para navegar a través de la brecha. En otras palabras, articula claramente si y cuando es. Sin embargo, también es más que una lista de verificación. Un approach excelente se basa en la flexibilidad en función de la posición de una empresa en una industria, su tamaño, los requisitos legales y reglamentarios y los datos que se violaron. Por lo general, es aconsejable que el approach sea examinado por expertos externos.

«Si tiene que diseñar un plan sobre la marcha, es demasiado tarde», dice Burg.

Regla de etiqueta n. ° 4: la práctica hace la perfección
Piense en una respuesta de incumplimiento como algo parecido a una boda. Los participantes practican la ceremonia una y otra vez hasta que las palabras y las acciones se vuelven una segunda naturaleza. Además, otros conocen sus roles. El resultado es la capacidad de mantener la calma y la confianza en caso de que surja un problema.

«Cuando está debidamente preparado para una infracción, puede llamar a un audible, hacer ajustes y lidiar con lo que suceda», explica Burg.

Al remaining, es importante reconocer que las infracciones ocurren, incluso en las organizaciones mejor protegidas y más preparadas. Así como la buena etiqueta y los modales en la mesa pueden guiarlo a través de una reunión de negocios o una cena, ellos pueden ser sus amigos durante una infracción.

Silberg dice: «Cuando haces las cosas bien y adoptas un enfoque ético, maximizas las probabilidades de minimizar el daño».

Samuel Greengard escribe sobre negocios, tecnología y ciberseguridad para numerosas revistas y sitios world-wide-web. Es autor de los libros «World-wide-web de las cosas» y «Realidad digital» (MIT Push). Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first