Mantra conocido: es objeto del Departamento de Seguridad, o en su defecto de los responsables o delegados de Seguridad, garantizar la seguridad corporativa de manera global y afrontar la actualización de amenazas de manera constante en cumplimiento del infinito Ciclo de Deming. Para ello, y como parte fundamental, se definen las amenazas y cuantificamos los riesgos referentes a la ciberseguridad en nuestro plan director. ¿Pero cómo queda esto tras el COVID-19? ¿Qué nuevos riesgos nos afectan?
La identidad digital corporativa se asentó hace tiempo como un activo a proteger. El Instituto de Ciberseguridad Nacional (Incibe) recoge en su muy recomendable publicación Ciberseguridad en la identidad digital y la reputación online, una guía de aproximación para el empresario las siguientes apreciaciones:
- La identidad corporativa permite a las empresas diferenciarse de las demás. Y esto es también cierto en el mundo digital e interconectado de la actualidad. En este entorno cobran especial importancia algunas características de la comunicación. En particular, las relativas a la inmediatez, visibilidad, credibilidad, influencia y permanencia de la información (…).
- La reputación digital corporativa puede definirse como la valoración alcanzada por una empresa a través del uso, o mal uso, de las posibilidades que ofrece Internet.
Partiendo de un mundo hiperconectado, la importancia de la reputación online y la defensa, y por tanto, de la identidad digital, queda reflejada de manera expresa en el plan de seguridad. Concretamente, dentro del apartado de aseguramiento de la información.
Por consiguiente, se debe actuar en el ciberespacio para proteger un bien que, aun solo existiendo de manera virtual, afecta de manera directa a los intereses económicos de la organización, a su seguridad y a la continuidad del negocio. Debemos alinear estos intereses con la seguridad de la información y, por lo tanto, con la reputación digital corporativa.
El caso de la listeriosis
Como ejemplo, citar la crisis sanitaria por listeriosis, provocada por unas partidas de carne mechada infectada en el verano de 2019. Provocó que cientos de empresas que comercializaban un producto similar se vieran afectadas por una crisis de reputación, a pesar de estar realizando un perfecto trabajo en lo referente a los controles, seguimiento y, en general, en la implementación de las medidas de seguridad necesarias. Algunas de estas compañías no se recuperaron de dicha crisis. Otras, sin embargo, acudieron a un plan de contingencia que permitió detectar la situación y anticipar la toma de medidas correctivas necesarias, saliendo de la misma con resiliencia. Estas medidas fueron variadas, como la reutilización del material para elaborar otros productos de diferente denominación o el cambio de procesado.
La importancia de la reputación online y la defensa, y por tanto, de la identidad digital, queda reflejada de manera expresa en el Plan de Seguridad
No se debe delegar la tarea de la seguridad al Departamento de Publicidad y Marketing, que si bien elabora planes de impacto, presencia y reputación, no verá la gestión de riesgos y la gobernanza de la seguridad como algo prioritario. Partamos de que la reputación es acumulativa, por lo que se debe empezar realizando una auditoría de seguridad de fuentes abiertas específica.
Cambio de paradigma
Es sabido el cambio de paradigma, en cuanto a ciberseguridad se refiere, debido al nuevo escenario generado por la tragedia global del COVID-19. Debemos realizar un análisis de la información y “noticias” que pudieran afectar a nuestra organización para reaccionar a la mayor brevedad posible y desmentir, desde el punto de vista de servicio público y lucha por la verdad, al mismísimo presidente de los Estados Unidos. Esto fue lo que hizo Reckitt Benckiser, propietario de Lysol and Dettol, al realizar unas declaraciones en las que afirmaba que “bajo ninguna circunstancia” deberían inyectarse o ingerirse sus productos tras las afirmaciones de Donald Trump sobre la ingesta de desinfectantes para evitar el COVID-19. Evitando, además, la previsible lluvia de demandas por parte de afectados, pese al cumplimiento de etiquetado.
Así, la sociedad ha tenido que aprender muchas cosas en este confinamiento. Una de ella es el mecanismo de generación y utilización de la información en forma de bulos y fake news. Ha interiorizado que, creando una distorsión deliberada de la realidad, manipulando creencias y emociones pueden influir en la opinión pública y en actitudes sociales. Sin duda, ese aprendizaje será utilizado contra organizaciones y empresas por parte de competencia, trabajadores descontentos, clientes con mala experiencia… Esto hace que la gestión de la reputación online se dificulte y sea necesaria la figura de expertos en seguridad, desinformación e investigación.
Buenas praxis
Si en la era preCOVID la reputación corporativa era un pilar en la continuidad del negocio, en la nueva “anormalidad”, donde el consumo de información digital se ha disparado, se hace estrictamente necesario el uso de personal especializado que evalúe dicha situación en todos los soportes posibles. En este sentido, son recomendables las siguientes buenas praxis:
–Auditoría de seguridad de fuentes abiertas, en la cual, de manera exhaustiva, se determine toda la información que pueda ser utilizada como vector de ataque y afectar a la organización. Sin duda, ya se realizan estas investigaciones buscando en los nichos comunes como Google Reviews. Pero se debe tener en cuenta la información referente a la organización que de manera pasiva se vuelca en el ciberespacio, como son metadatos de la propia página web corporativa, la reputación de las cuentas de correo electrónico corporativas, la exposición de contraseñas publicadas en filtraciones de seguridad o el nivel de actualización de la propia plataforma web. Todo ello podría ser utilizado por un atacante. La reputación digital personal de nuestros directivos y trabajadores repercute directamente en la de la empresa. Por ello es necesario el análisis y monitoreo de dichas redes sociales, así como la implementación de políticas activas para su cumplimiento por parte de los empleados.
–Monitorización del ciberespacio referente al sector de la organización, estableciendo alertas y metodologías que permitan la anticipación que trágicamente se ha confirmado como la única forma de protección efectiva en muchas situaciones.
–Compliance y responsabilidad penal. Puesto que la Fiscalía ha definido hasta 10 tipos penales diferentes relacionados con los bulos y las fakes news, se hace obligatorio, por parte de la organización, comprobar que la información que se vierte desde ella es veraz. Del mismo modo, si se detecta que la empresa está siendo objeto de una campaña de desprestigio, se debe realizar la investigación necesaria para documentar dichos ataques e identificar a los atacantes, pudiendo tomar las medidas judiciales necesarias.
Esta investigación, lógicamente, debe realizarse con escrupuloso cumplimiento de la Ley de Seguridad Privada. Y si fuera necesario, se contratarían detectives privados para garantizar la legalidad del proceso y que el informe sea utilizable en posteriores procedimientos sancionadores con garantías.
Por lo tanto, el plan director debe incluir en su estado del arte la situación de la reputación digital corporativa, definiendo y evaluando los riesgos y los actores que pudieran actuar. Generar las políticas activas de seguridad imprescindibles para, en caso necesario, se puedan tomar las medidas correctoras pertinentes. Incluir en el plan de contingencia estas crisis reputacionales contemplando la formación de un equipo de gestión de crisis con dotes jurídicas, investigativas, de seguridad y de gestión del negocio.
En la sociedad actual, el desprestigio puede destruir en una tarde el trabajo de generaciones. La información es el petróleo de una sociedad hiperconectada. Es igual de inflamable.
