El problema real no son los “data breaches” sino el no saber gestionarlos

Hay una expresión que, no sé si por suerte o por desgracia, se está volviendo cada vez más familiar: data breach. La expresión me resulta un poco eufemística porque, a fin de cuentas, lo que queremos decir es que hemos perdido datos o nos los han robado. En definitiva: que el sistema de seguridad no era tan bueno. Unas veces es por un ataque a nuestros sistemas desde el exterior, otras (las menos) por un acto malicioso de alguien que trabaja dentro o, por último, debido a una serie de catastróficas desdichas. En fin, para los propósitos de este artículo da lo mismo.

La realidad es que el número de “data breaches” va en aumento y todos nos hemos acostumbrado a leer noticias sobre ello. Aunque eso no significa que no nos preocupe, y aquí es cuando la cosa se pone interesante: cada vez más normativas de protección de datos exigen un procedimiento para la gestión de “data breaches” y la notificación a las autoridades (y en ocasiones a los usuarios/clientes). En Europa, a partir de mayo del año que viene, ese plazo es de 72 horas desde que la empresa ha descubierto el incidente.

“Los data breaches son inevitables, pero podemos elegir cómo gestionarlos cuando lleguen”

Podemos empezar a quejarnos ya si queremos ver el vaso medio vacío. Yo soy de naturaleza optimista y prefiero pensar que el vaso está a rebosar. Vamos a ver, no es un drama sino una oportunidad para demostrar solidez en la gestión y que, a pesar de que haya mala gente por el mundo intentado robar mis datos, la empresa “X” sabe cómo reaccionar. A día de hoy el cliente ya ha aceptado que esto pasa, así es que lo que cuenta es cómo reacciona la empresa. La gestión de un “data breach” ¡también es experiencia de cliente!

¿Qué necesitamos para gestionar una crisis como ésta y salir airosos?

1. Sistema de gestión de incidencias de seguridad sólido

El requisito base es tener un sistema de gestión de incidencias de seguridad sólido y que funcione de manera eficaz y eficiente. Sin esto, de entrada, no hay nada que hacer. Y ojo, porque la parte difícil no es ni diseñar el proceso, ni contratar profesionales cualificados, ni tener un software estupendo de gestión: es formar a todos tus empleados para que detecten ataques. Todos tus empleados (incluso si me apuras tus clientes) son la primera línea de defensa.

2. Tener claro qué es un data breach

La notificación a autoridades y clientes es una obligación legal. La definición y las condiciones que deben darse, como ya os podéis imaginar, varía de un país a otro. Un error muy común es no definir esto claramente y cuando sucede perdemos un tiempo valiosísimo en aclarar si hay que notificar o no. Y nos estresamos a lo tonto.

3. Saber qué hay que notificar y a quién

En una situación de estrés, tener claridad en estos detalles significa ganar tiempo y que todo el equipo tenga seguridad. Unos ejemplos:

  • ¿Qué hay que notificar exactamente? ¿Ha habido un data breach? ¿Por qué ha sucedido?
  • ¿Hay que decir exactamente cuántos clientes se han visto afectados?
  • ¿Hay que especificar qué información en concreto se ha visto afectada?
  • Si los datos son míos pero ha sido un tema de un proveedor, ¿notifica el proveedor, o tenemos que hacerlo nosotros?
  • ¿A qué autoridad hay que notificar? ¿Tienen un área concreta para esto? ¿Conocemos a alguien allí? ¿Hay un formulario oficial?

Y así podría seguir un buen rato… No podemos perder tiempo en esto cuando tenemos un marrón de semejante calibre, esto tenemos que saberlo con anterioridad.

4. Un comité de crisis multidisciplinar

Cuando pasa esto hay que saber quién tiene que formar parte de este comité (puede parecer de perogrullo, pero no es lo mismo que se nos caiga un servidor a que tengamos un data breach, la constelación de implicados cambia). Además, digo esto de “multidisciplinar” porque si tenemos que comunicar a clientes, entonces habrá que implicar a áreas que tradicionalmente no se sientan en estos comités.

5. Un plan de comunicación.

Sé que puede parecer una de esas cosas de sumar dos más dos, pero creedme, es un error bastante común. Comunicar esta situación requiere un plan integral que habrá que adaptar a cada situación porque no es tan fácil:

  • Con las autoridades: ¿quién se comunica? ¿Quién va a ser el punto de contacto?
  • Con los clientes: ¿cómo les vamos a comunicar? ¿Qué canal/es vamos a usar? ¿Cuál es el mensaje en cada canal? Aunque el mensaje sea uno, la audiencia puede cambiar potencialmente así es que conviene plantearse si hay que adaptarlo al canal y a la audiencia.
  • Con los empleados: ¿qué necesitan saber? ¿Necesitan saber algo? ¿Todos? ¿Cuál es ese mensaje? ¿Quién lo comunica? ¿Cómo se comunica?

6. Un plan post-comunicación

Digamos que hemos hecho todo lo anterior a la perfección (que ya es un logro), ¿qué es lo que van a hacer nuestros clientes según reciban nuestra comunicación? Efectivamente: llamarnos, escribirnos emails, conectarnos por redes sociales… ¿Cuál es el plan? ¿Sabrán nuestros agentes en el call-center qué responder? ¿Responderán todos de manera consistente? Sin un plan post-comunicación no.


En una palabra: un “data breach” hace que perdamos el control, pero un buen plan de gestión hace que lo recuperemos, e incluso que salgamos reforzados en nuestra imagen (no digo que no se resienta, digo que es una inversión a medio plazo). Los “data breaches” son inevitables, pero podemos elegir cómo gestionarlos cuando lleguen, visualizándolos no sólo como un marrón legal y de imagen sino como una experiencia de cliente. Yo ahí lo dejo.

  1. #6
    @mgmoriano

    Laura: tienes toda la razón. Estamos hablando, fundamentalmente, de saber gestionar el cambio que esto supone. Y, lamentablemente, en muchas ocasiones se falla en ese aspecto cuando se aborda ésto sólo desde la perspectiva del cumplimiento legal. Es más fácil escribir un procedimiento sobre el papel que implantarlo de verdad. Pero quien de verdad lo haga tendrá a la larga una situación muchísimo mejor.

  2. #5
    Miguel Alvarez

    Si quieren hackearte, pueden hacerlo, seas una gran empresa, una startup, un freelance o un particular, lo hemos visto recientemente. La pregunta es, ¿tenemos planes de actuación que gestionen los riesgos potenciales derivados de la pérdida/robo de datos? Nadie es inmune a la pérdida de datos, tener previsto que eso ocurra y actuar en consecuencia es clave. ¡Toda la razón María!

  3. #4
    Laura Garrido

    Yo el gran problema de todo esto lo veo en la pata de COMUNICACIÓN. Por desgracia, a los empleados de las empresas se les mandan tareas sin explicar cuál es el objetivo final de hacerlas, para qué servirán en la organización y como consecuencia, dejan de hacerse, o se hacen a desgana. Un ejemplo es el de la ciberseguridad. Y claro, es tan 'fácil' abrir desde tu correo de oficina un archivo con virus que, ¿para qué tomar precauciones si al final, hago cosas que no tienen sentido? Más importante que las técnicas, o incluso que los planes de gestión, son la comunicación a los empleados, y ése es el gran fallo de grandes organizaciones como la mía. Buen post.

  4. #3
    @mgmoriano

    Cristina: Gracias, tú siempre me lees con cariño! Kiko: tienes toda la razón, el sentido común es esencial para prevenir pero la complejidad es cada vez mayor y, por tanto, la posibilidades de que el sistema de protección falle también. Y habrá fallos seguro. Cuando algo falle y tengamos una crisis importante es esencial estar listos. :) Espero que te haya resultado interesante y te lleves algo contigo.

  5. #2
    Kiko Moreno

    El sentido común es más importante que el mejor antivirus!!!

  6. #1
    Cristina Recuero

    Genial guía sobre como hacer cuando recibes un ataque. Creo que estamos en un momento crucial para gestionar con antelación este tipo de prácticas cada día mas comunes. Gracias María por compartir tu conocimiento!!

Createch540º en tu correo

Createch540º en tu correo

¡No te pierdas ningún contenido!

¡Muchas gracias! Hasta pronto :).

Top