Francesc Xavier Vendrell – Senior Security Consultant

Fa més de 2000 anys ja hi havia persones que pensaven en què hem de comunicar les coses de manera correcta. La frase de Pubio Siro que titula aquest article és una mostra d’això.

Quan tenim un incident de seguretat a la nostra empresa o organització la majoria de vegades tenen afectacions a clients, usuaris i altres externs a nosaltres. Com que aquests incidents no estan planificats (no ens solen avisar que tal dia D a les H hores ens fastiguejaran els sistemes…), ens solen agafar totalment desprevinguts. I entre l’espat i les presses, solem improvisar el que acabarem comunicant al públic afectat. I a vegades, això acaba fent més mal a la imatge de l’empresa que el propi incident mateix.

Recordo diversos casos que he vist al llarg d’aquests últims anys Persones, que sense voler, amb els nervis que tindrien en aquell moment, acaben dient coses que, no només no ajuden a explicar el que ha passat, sinó que encara confonen i alarmen més del que ja de per si han fet les notícies i els fets reals.

Per això crec que és important tenir, a part d’un bon pla de contingència, un esquema de discurs preparat per tranquil·litzar i informar adequadament del que hagi succeït. I no fer la bola de neu més gran del que ja és.

Segurament el Cybersecurity Framework 1.1 del NIST és una de les eines que més ens poden ajudar per concebre un bon marc de seguretat cibernètica a la nostra empresa. I entre elles es troben apartats en què es fa referència a preparar els comunicats dels incidents per restablir la reputació de l’empresa.