Francesc Xavier Vendrell – Senior Security Consultant

Hace más de 2000 años ya había personas que pensaban en que hemos de comunicar las cosas de manera correcta. La frase de Publio Siro que titula este artículo  es una muestra de ello.

Cuando tenemos un incidente de seguridad en nuestra empresa u organización la mayoría de veces tiene afectaciones a clientes, usuarios y otros entes externos a nosotros. Como estos incidentes no están planificados (no nos suelen avisar que tal día D a las H horas nos van a fastidiar los sistemas…), nos suelen coger totalmente desprevenidos. Y entre el susto y las prisas, solemos improvisar lo que acabaremos comunicando al público afectado. Y a veces, esto acaba haciendo más daño a la imagen de la empresa que el propio incidente mismo.

Recuerdo varios casos que he visto a lo largo de estos últimos años. Personas, que sin querer, con los nervios que tendrían en aquel momento, acaban diciendo cosas que, no solo no ayudan a explicar lo que ha pasado, sino que aun confunden y alarman más de lo que ya de por sí han hecho las noticias y los hechos reales.

Por eso creo que es importante tener, aparte de un buen plan de contingencia, un esquema de discurso preparado para tranquilizar e informar adecuadamente de lo que haya sucedido. Y no hacer la bola de nieve más grande de lo que ya es.

Seguramente el Cybersecurity Framework 1.1 del NIST es una de las herramientas que más nos pueden ayudar para concebir un buen marco de seguridad cibernética en nuestra empresa. Y entre ellas se encuentran apartados en que se hace referencia a preparar los comunicados de los incidentes para restablecer la reputación de la empresa.