Las entidades tienen que asumir que sufrirán incidentes de seguridad de la información (ciberincidentes) y deben prepararse para ello. Esta preparación requiere, no solo las medidas apropiadas para detectar, protegerse y reaccionar ante ciberataques (sustracción de información confidencial, ciberespionaje, malware, interrupción de servicios TI, toma de control de sistemas, suplantación de identidad, etc.), sino que también requiere prepararse para la gestión de un ciberincidente que impacte en los sistemas de la entidad y como parte de esta gestión, la comunicación del incidente.
La comunicación del incidente involucra muchos actores como pueden ser, entre otros: las autoridades de control que corresponda (Autoridad de Control de RGPD, CCN CERT, CERT de CNPIC, CERT de INCIBE, etc.), los empleados, los clientes, los proveedores, otros interesados, etc. Cada entidad tiene que conocer cuándo hay que notificar los incidentes a cada uno de ellos.
Las entidades pueden temer el impacto que la comunicación de un incidente de seguridad pueda tener en su reputación y las sanciones que tengan que afrontar, como en el caso del ciberataque a la entidad de solvencia crediticia EQUIFAX (afectando a 143 millones de perfiles de usuario que incluían datos personales, historial de crédito y perfil financiero) o en el caso de YAHOO (en el que sus cuentas fueron vulneradas) que implicó una multa de 35 millones de dólares por parte de la SEC. Este temor, puede llevar a ciertas entidades a no comunicar los incidentes de seguridad de la información, como en el caso de UBER que ocultó durante más de año un hackeo que afectó a 57 millones de usuarios (en el que se pagó 100.000 dolares a los hackers para que eliminasen los datos obtenidos y mantuvieran silencio sobre lo ocurrido).
También es posible que, tal y como indica el informe de KARSPERSKY LABS, sean los propios empleados de las entidades los que, por vergüenza o miedo a ser penalizados disciplinalmente, no reporten incidentes de seguridad de la información en los que se ven implicados (phishing, llamadas falsas solicitando información, ingeniería social, introducción no intencionada de malware, etc).
Sin embargo, existen una serie de factores a tener en cuenta respecto al reporte de incidentes de seguridad.
La articulación correcta de la comunicación de los incidentes de seguridad, requiere realizar una serie de actividades previas a la aparición de incidentes de seguridad como:
Dentro del marco regulatorio adquiere cada vez más importancia el reporte de incidentes de seguridad, como en el caso de la directiva NIS, en el que se contemplan sanciones por no notificar incidentes de seguridad (al CCN para entidades públicas, al INCIBE para entidades privadas y al Mando Conjunto de Ciberdefensa para las fuerzas armadas).
Una entidad debe comunicar los incidentes de seguridad de manera responsable, para tener las ventajas de la comunicación (apoyo en su gestión, limitación en su propagación, etc.), y evitar los inconvenientes que una mala comunicación puede suponer (como perjudicar su reputación y operatividad). Para ello debe, estudiar e implantar una estrategia de comunicación y mecanismos adecuados que incluyan tanto a los profesionales más apropiados como a los interlocutores con los que se tendrán que comunicar.