Qué debemos hacer si el sitio web de nuestra organización resulta hackeado

Viernes, 17 de Febrero de 2012

Ya nadie parece estar a salvo de los hackers. Atacan las webs de todo tipo de organizaciones, incluyendo a agencias policiales, bancos, financieras y empresas de seguridad online.

No importa si se trata de una organización sin fines de lucro con una larga e impecable trayectoria, o de una institución financiera estatal, todos deben estar preparados para potenciales intrusiones online y el desafío que representa el saber cómo comunicar la noticia.

Hay cuatro consideraciones clave para aquellas organizaciones que estén buscando mantener su credibilidad y confianza como administradores seguros de la información antes y después de ser atacados.


1) Prevenir y anticipar

Al igual que en los deportes, en temas de seguridad online la mejor defensa posible es ser proactivo. Cualquier organización que maneje datos (de empleo, ventas, personas, tarjetas de crédito y un largo etcétera) es vulnerable a un ataque.

Las organizaciones inteligentes están hoy aprovechando su tiempo para invertir en sistemas que les permitan evaluar su seguridad, identificar sus debilidades y aprender a protegerse.

Además de los temas técnicos, es importante que los  equipos técnicos, legales y de comunicaciones entiendan quién será el responsable de manejar un potencial ataque y tendrá planeada una rápida respuesta y un programa de crisis listo a tiempo.


2) Diga algo

En las secuelas inmediatas de un ataque, la falta de información puede causar una parálisis organizacional severa. Esta parálisis dificulta los esfuerzos de comunicación, permitiendo que otras  fuerzas externas especulen y maximicen nuestro problema y sus consecuencias.

Es muy importante identificar inmediatamente qué es lo que se sabe y lo que no se sabe sobre el ataque. Por ejemplo, las empresas y organizaciones deben estar preparadas para responder a preguntas sobre la seguridad de los sistemas y la información de sus usuarios.

Si bien un hacker puede secuestrar o tirar abajo una página web para demostrar que está en contra de una causa o simplemente para demostrar su habilidad para hacerlo, esto debe poner en manifiesto un problema de seguridad mucho más grave para la organización, que sí o sí debe ser abordado.

Decir algo no significa decirlo todo. El apuro por responder puede tener prácticamente las mismas consecuencias devastadoras para las personas que están mal informadas o no preparadas para comprender la situación.

Por otro lado, comunicar lo que se sabe y lo que se va a investigar, demuestra responsabilidad y transparencia a los stakeholders, que se sienten tan atacados como la propia organización a la que están de alguna manera vinculados.

La falta de respuestas ante el ataque de hackers a la página web de nuestra empresa, crea un vacío de frustración que quienes propiciaron el ataque van a llenar con gusto.


3) Conozca la ley

Cada país tiene leyes y regulaciones particulares ante una situación de este tipo. Es importante conocer qué leyes nos amparan, qué debemos hacer en estos casos para recuperar nuestra página web y qué acciones legales tomaremos en contra de aquellos que sean identificados como los responsables.


4) Recuerde que no está solo

En casi todos los casos de brechas en la seguridad online, las víctimas suelen ser numerosas, ya que los hackers suelen apuntar a páginas web que almacenan abundante información sobre personas.

No se trata sólo de un ataque a nuestra empresa, sino a cada persona y compañía que está de alguna forma vinculada con ella: cada cliente que nos ha comprado, cada partner que tenemos, cada persona que se ha registrado para recibir nuestro newsletter o que nos ha pagado por algún servicio. Así, acudir rápidamente a las autoridades locales muestra transparencia y responsabilidad.

En el 2012, el manejo de los datos por parte de las empresas continuará creciendo como la nueva moneda global, y los hackeos y ataques a páginas web seguirán evolucionando como la nueva cara de protestas de cualquier tipo y contra cualquier cosa.

En este contexto, las empresas y organizaciones no deben olvidar que ahora no sólo viven y trabajan en el mundo de los datos, sino también en el de su protección.