¿A quién va dirigido?
A cualquier organización, pública o privada, independientemente del tamaño que deseen de manera proactiva conocer las acciones y requisitos necesarios para garantizar una correcta actuación ante una crisis de seguridad, disminuyendo de este modo el posible impacto y alcance.
Que se entiende como crisis de seguridad
Por crisis se entiende cualquier circunstancia, deliberada o fortuita, ocasionada internamente o no, que produce un desequilibrio en una organización con su servicio, clientes, accionistas, trabajadores y representantes sindicales, autoridades u otras empresas o entidades, afectando o dañando la imagen y reputación pública, con la consecuente pérdida económica o incumplimiento legal, pudiendo poner en peligro su viabilidad económica y/o futuro profesional.
Buenas Prácticas
Toda crisis implica una toma de decisiones bajo presión, con tiempo e información limitados y en diversos frentes en paralelo, y con muchos agentes y personas interviniendo. Por lo que dividiremos el proceso de actuación en dos partes.
- Operativa y de respuesta técnica al incidente. Tiene que ver con el motivo que la origina y cuyos efectos inmediatos deben ser contenidos y resueltos por un equipo de respuesta especializado.
- Organizativa y estratégica, en la medida en que su impacto afecta a diferentes ámbitos de la organización (servicio, operativa, imagen y reputación, relación con el regulador, grupos de interés, presencia en redes sociales, etc.) y requiere de una respuesta coordinada a alto nivel, determinando los canales de comunicación con otras unidades o entidades, propias y/o ajenas
A continuación, se indican un conjunto buenas prácticas que facilitaran la toma de decisiones necesarias para garantizar la eficacia y eficiencia de la actuación ante una crisis de seguridad.
- Liderazgo en toma de decisiones
La toma de decisiones debe realizarse de forma ágil y concisa, por lo que será necesario realizar un trabajo previo estableciendo una cadena de mando en la que se incluirá el responsable asignado para este tipo de sucesos que será el encargado de asignar recursos y materiales, así como de convocar al comité de crisis en caso de que se considere necesario.
La ausencia de una cadena de mando o asignación de responsabilidades puede desembocar en la existencia de dudas, nerviosismo o caer en la improvisación para la toma de decisiones.
- Planes y protocolos estructurales
La prevención perfecta es prácticamente inalcanzable, el riesgo cero no existe. Pero una de las claves para una gestión efectiva de la crisis viene determinada por la capacidad de anticipación e identificación de los ámbitos más vulnerables. Por lo que será necesaria la creación de planes de respuesta y gestión de incidentes de seguridad, en los que se analicen todos los supuestos categorizados con anterioridad como riesgos evitando caer en la improvisación.
- Comité de Crisis
Su principal cometido será acelerar el proceso de toma de decisiones para solventar incidencias, definiendo las prioridades, estableciendo la estrategia y la táctica a seguir.
Debe estar compuesto por un grupo pequeño de personas con distintos perfiles, ejecutivas y muy resolutivas, con capacidad de reacción ante situaciones de estrés y agilidad en la dirección de los equipos y toma de decisiones.
En función de la criticidad y tipología de la crisis se designarán los diferentes que perfiles deben estar presentes.
A continuación, se incluye un desglose de los diferentes departamentos que deberían estar al corriente de una crisis de seguridad grave, así como sus principales funciones.
CEO/Alta dirección
- Se mantiene continuamente informado y actúa como portavoz si las circunstancias lo exigen.
- Es el encargado de tomar decisiones drásticas que atañen a negocio.
Departamento Legal
- Determina la responsabilidad legal directa e indirecta provocada por el incidente.
- Se encarga de otorgar asesoramiento legal en la toma de decisiones.
Departamento de Comunicación:
- Define cuales son los mensajes clave, el formato y el canal de comunicación adecuado, en función de los grupos de interés.
- Activa el seguimiento y repercusión de la crisis en los diferentes medios de comunicación y redes sociales.
Departamento financiero:
- Analiza los fondos necesarios para la resolución de la crisis.
- Mantiene la comunicación con las compañías aseguradoras.
- Recopila información sobre el impacto económico del incidente.
Recursos Humanos:
- Portavoz interno ante empleados y sindicatos
- Se comunica con los afectados y proporciona asistencia básica.
Sistemas/Telecomunicaciones:
- Garantizara la continuidad del servicio utilizado los sistemas de contingencia previstos en los planes de respuesta
- Implementaran las acciones correctivas/preventivas definidas por el equipo de seguridad y previstas en el plan de respuesta
Equipo de seguridad y Respuesta ante incidente
- Son los primeros en conocer el incidente, en función de la tipología y gravedad de este determinan la necesidad de activación del Comité de Crisis.
- Determinan las acciones necesarias a nivel operativo para la gestión de incidente que ha derivado en la crisis de Seguridad.
- Son los encargados de definir los planes de actuación que se utilizaran mediante la gestión de la Crisis de seguridad.
- Lideran la toma de decisiones.
- Control de la superficie de exposición
Es necesario disponer de mecanismos que permitan conocer los servicios expuestos de la organización, así como la identificación de las posibles vulnerabilidades presentes en los mismos. Esto permitirá realizar acciones de mitigación previas evitando futuros incidentes.
- Diagnóstico inicial y escenarios posibles
Se procederá con el análisis del incidente, así como a la recolección de toda la información posible sobre el mismo con el fin de definir una posible solución y los próximos pasos. Es necesario responder a las siguientes cuestiones:
- Método de detección del incidente.
- Establecer posible fecha de inicio de incidente.
- Identificar el posible alcance inicial
- Evaluación del impacto del incidente en relación con el servicio afectado y la información comprometida.
- Revisar el posible vector de entrada que propicio el incidente.
- Recopilar todas las evidencias posibles sobre el incidente.
- Coordinación
La coordinación es un elemento clave en la respuesta y resolución de una cibercrisis, por lo que será necesario definir correctamente las funciones y roles de cada uno de los miembros del comité, en los planes de actuación creados previamente, esto evitará caer en la improvisación.
- Discurso unificado
La información relacionada con la crisis de seguridad debe siempre surgir desde el comité de Crisis, de este modo se evitarán que se creen bulos o informaciones contradictorias, tanto a nivel interno como externo, sobre el estado de la crisis y las acciones necesarias.
- Transparencia
Mantener la transparencia durante una crisis no es fácil, pero el daño se puede compensar mediante la adopción de una política abierta y responsable que, aunque a corto plazo pueda levantar críticas, a la larga produzca una mejora de la credibilidad y reputación de la organización.
Se evitará mencionar las causas del incidente, responsable y cualquier dato que pueda poner en riesgo la investigación o pueda revelar posibles consecuencias internas de la organización.
- Acciones adoptadas y lecciones aprendidas
Se deberá realizar un registro que incluya la documentación de los detalles del incidente, así como la lecciones y dificultades encontradas durante el mismo. Esto permitirá la creación de un plan de mejoras con el fin de eliminar las debilidades existentes en la organización, así como para aumentar la agilidad y eficiencia de los procesos de actuación.
