Son necesarias estrategias más generales como complemento de las defensas técnicas. He aquí seis acciones de diplomacia empresarial que pueden ser muy útiles frente a los ciberataques.
En mayo de 1940, el Ejército francés se apiñaba en sus refugios de la Línea Maginot. Ésta era una barrera defensiva rígida, formada por búnkeres, nidos de ametralladoras y posiciones de artillería. Se había construido a lo largo de la frontera franco-alemana al terminar la Primera Guerra Mundial, para evitar que se repitieran los horrores de la guerra de trincheras. Los franceses estaban convencidos de que la línea era inexpugnable. Seguramente lo era, pero los alemanes se limitaron a rodearla. Una vez sobrepasada la barrera, los franceses no tenían ninguna defensa en profundidad. El poderoso Ejército galo se derrumbó en seis semanas.
Los directivos de empresa están cada vez más preocupados por los peligros de los ataques cibernéticos. El daño que causan el robo de datos y otras agresiones no es sólo económico: también pueden destruir la reputación de la compañía y la confianza de sus clientes. Sin embargo, el recurso excesivo a los cortafuegos y otras formas fijas de ciberseguridad recuerda a la Línea Maginot. Los hackers se limitan a dar un rodeo y, con demasiada frecuencia, descubren que no existe ninguna defensa en profundidad. Pueden pasearse tranquilamente por los sistemas de la empresa, igual que los carros de combate alemanes pudieron campar por Francia hace 76 años. Por si fuera poco, la compartimentación de la mayoría de las empresas, que consideran que la ciberseguridad es responsabilidad exclusiva de los técnicos y no de la organización entera, trae a la memoria la desalentadora fragmentación del Gobierno francés en plena crisis.
Las empresas no pueden depender sólo de medidas técnicas para defenderse de los ataques cibernéticos. En la carrera constante entre ciberataque y ciberdefensa, los defensores, como el Ejército galo en los años treinta del siglo pasado, tienden a prepararse siempre para librar la última batalla. La ventaja suele estar en el ataque. Aparte de desarrollar una defensa en profundidad, las empresas necesitan concebir estrategias más agresivas para identificar y rechazar a los posibles hackers. Deben tener una resiliencia, una flexibilidad que les permita adaptarse a los ataques y garantizar la continuidad del negocio. Tienen que elaborar estrategias de trabajo colaborativo, tanto dentro de la compañía como con otras empresas y con el gobierno, para garantizar unas respuestas más eficaces ante los ataques informáticos. Y, por último, deben poner en práctica estrategias de comunicación hábiles que aseguren que, en caso de que se produzca un ataque, la opinión pública (incluidos sus clientes) esté de su parte, y no de la del agresor. Todos estos elementos deben confluir en una estrategia coherente e integral. En otras palabras, las empresas deben elaborar una estrategia de diplomacia empresarial orientada hacia la ciberseguridad, que sirva de complemento y refuerzo a las soluciones técnicas.
La diplomacia empresarial adapta las técnicas y la mentalidad de los diplomáticos a las necesidades de la compañía a la hora de gestionar las oportunidades y los riesgos políticos, sociales, económicos y geopolíticos en un entorno económico internacional cada vez más volátil. Se centra en el análisis de los riesgos y las oportunidades que afronta una empresa y trata de identificar a las diversas partes interesadas que hacen que esos riesgos y oportunidades tengan unas repercusiones u otras en las actividades de la compañía. Construye redes de información e influencia entre dichas partes interesadas y, a partir de esas redes, forma coaliciones voluntarias para proteger y promover los intereses comerciales de la empresa. Las estrategias de la diplomacia empresarial son cruciales para generar flexibilidad y garantizar la continuidad del negocio.
Las estrategias de diplomacia empresarial pueden contribuir a la ciberseguridad en seis áreas:
Análisis de la empresa y perfil del hacker. El análisis de las actividades, el perfil y la reputación de una empresa puede ayudar a identificar los tipos de hackers que pueden atacarla y sus motivaciones. Para ello se puede recurrir a la obtención de informaciones (extracción de datos) de los blogs y los chat-rooms de hackers y activistas. Existe software que facilita esta tarea.
Estrategias contra los hackers. Si el motivo que les impulsa no es monetario (por ejemplo, ético o político), pueden elaborarse estrategias de diplomacia empresarial para reducir la vulnerabilidad de la compañía. Por ejemplo, desarrollar redes de influencia e información entre activistas y ONG relacionados, que pueden servir para valorar la probabilidad de un ataque, reducir el perfil negativo de la compañía, desviar la atención hacia otras empresas (tal vez peores), tender la mano a los hackers o aislarlos y marginarlos en las comunidades éticas o políticas cuyo respeto y reconocimiento buscan.
Diplomacia pública. Un problema importante para una empresa es que la opinión pública y las partes interesadas (incluidos sus clientes) responsabilicen de las consecuencias de cualquier ataque a la propia compañía y no a los hackers (un ejemplo es el caso Ashley Madison). Éstos parecen tener una imagen casi de Robin Hood. Y las campañas de marketing y comunicación que se pongan en marcha después de un ataque están condenadas al fracaso. Es más eficaz el uso de todas las técnicas de la diplomacia pública y digital, con el fin de crear un entorno político y social que haga que, cuando se produzca un ciberataque, la gente, incluidos los interesados en la empresa, esté ya de su parte y contra el agresor.
Trabajo colaborativo dirigidas al gobierno y a otras empresas. La colaboración entre los gobiernos y las compañías para luchar contra los ataques cibernéticos sigue siendo escasa. Demasiadas veces, ante un ataque a una empresa, las compañías rivales reaccionan con schadenfreude. Las empresas pueden construir redes y coaliciones para fomentar la colaboración con los gobiernos y con otras empresas y lograr así una defensa más eficaz contra los ataques cibernéticos.
Estrategias colaborativas dentro de la empresa. En muchas compañías, la seguridad informática se deja en manos de los expertos técnicos. No hay intercambio de informaciones dentro de la empresa. Los empleados no piensan en la ciberseguridad ni la consideran responsabilidad suya. Las estrategias de diplomacia empresarial insisten en emplear un enfoque integral que agrupe a los departamentos de comunicación, reputación corporativa y asuntos públicos con los encargados de la seguridad cibernética, y de esa forma derriban esos compartimentos estancos y mejoran la gestión de la seguridad en toda la compañía.
Continuidad del negocio. Con el desarrollo de redes de influencia e información entre las partes interesadas más importantes, las empresas pueden reforzar la continuidad del negocio en caso de ataque informático, reducir al mínimo los daños −económicos y de reputación− que puede causar ese ataque y garantizar la reanudación de las actividades lo antes posible.
Las estrategias de diplomacia empresarial no son una panacea, igual que no lo son las medidas puramente técnicas, igual que la diplomacia real no puede obtener la paz mundial sin el uso de la fuerza armada. Se complementan y se refuerzan mutuamente. Las empresas deben aprender que la seguridad cibernética no es competencia exclusiva de los técnicos, sino responsabilidad de todos los departamentos y todos los empleados, empezando por el consejo de administración. Las estrategias de diplomacia empresarial, al fomentar prácticas de trabajo colaborativo y en redes dentro y fuera de la compañía, ofrecen un enfoque integral que permite mejorar la eficacia de las técnicas de ciberseguridad y aumentar la capacidad de adaptación de la compañía contra los ataques.
Traducción de María Luisa Rodríguez Tapia
Actividad subvencionada por la Secretaría de Estado de Asuntos Exteriores
