Imagine el siguiente experimento mental. Usted es el presidente o director de una empresa que cotiza en bolsa. Hemos pasado un fin de semana largo de vacaciones en nuestra casa de la playa y todo está tranquilo. Pero suena tu teléfono. Una llamada del director ejecutivo y del abogado general. Entran en pánico y le dicen que su empresa ha sido atacada por ransomware. El sistema central se congeló y fue enviado a un sitio web exigiendo un rescate multimillonario (pagadero en criptomonedas) para restaurar la funcionalidad. Sabemos que estas primeras horas son críticas, pero ¿qué hace? El viernes por la noche fue un día caótico, lo que dejó a la gerencia preguntándose qué sucedió y qué sistemas y operaciones se vieron comprometidos, y usted lucha por descubrir qué (si es que hay algo) sigue funcionando.
El primer elemento de acción es convocar una reunión de la junta directiva, pero es posible que el hacker haya estado acechando dentro de los sistemas de la empresa durante semanas. Es posible que hayan comprometido los sistemas de comunicación interna, como el correo electrónico ejecutivo o un sistema telefónico integrado. Utilizando canales de comunicación normales, los piratas informáticos pueden invitarse a reuniones. En su lugar, confíe en métodos de comunicación “fuera de banda”, como comunicaciones cifradas (como aplicaciones cifradas para teléfonos inteligentes) o cadenas telefónicas antiguas, para evitar que la información confidencial sobre el plan de respuesta de su empresa quede expuesta a los piratas informáticos.
Una vez que la junta se ha reunido a través de un enlace seguro, la situación debe evaluarse rápidamente para garantizar que la gerencia comprenda el alcance del ataque lo mejor que pueda y determine los próximos pasos. Este no es el momento de echar culpas o lamentar los pasos dados en primer lugar. Sin embargo, su asesor legal debe informarle sobre si se aplica un seguro de ciberseguridad y ransomware y notificarlo a su compañía de seguros lo antes posible. Las juntas directivas y los equipos directivos también necesitan obtener rápidamente asesoramiento muy sofisticado de una variedad de expertos, que sólo tienen horas (en lugar de días) para entenderlo.
• Abogados, incluidos los abogados de confianza existentes de la empresa, abogados con amplia experiencia en ataques similares y (posiblemente) abogados de cobertura de seguros.
• Empresa de seguridad de redes forense que puede garantizar que los sistemas de una empresa estén bloqueados y que el atacante sea eliminado del sistema, e investigar el alcance y el impacto del ataque.
• Empresa de comunicación de gestión de crisis
Nuestro equipo de negociación se especializa en negociar con ciberdelincuentes y ha superado con éxito estas situaciones muchas veces antes. Por lo general, están compuestos por ex agentes del orden que tienen acceso a suficientes criptomonedas (por ejemplo, Bitcoin) para facilitar el pago de rescates.
La junta tiene que tomar quizás las decisiones más importantes. Es decir, si se debe pagar el rescate y si (y cuándo) se debe notificar a otros, como clientes, proveedores, empleados y el FBI. El abogado también le recordará que la SEC exige la divulgación pública casi inmediata del ataque si se determina que es material. Es natural que las juntas directivas se muestren reacias a negociar con malos actores, y es posible que algunas quieran retrasar la presentación de informes sobre ataques hasta tener mejores noticias. Desafortunadamente, las juntas directivas no tienen más remedio que negociar para restaurar las operaciones críticas y evitar los importantes costos financieros y el daño a la reputación asociados con un ataque, así como la posible filtración de datos confidenciales. Es evidente que el tiempo no está del lado de la junta directiva.
Si la junta decide negociar y pagar el rescate, los piratas informáticos proporcionarán la clave de descifrado, que permitirá a la empresa descifrar sus sistemas y datos y recuperar el control. Y si una empresa puede “confiar” en los ciberdelincuentes involucrados, los datos robados no se harán públicos y se les dirá que los piratas informáticos destruyeron los datos. Por otro lado, si la empresa puede utilizar copias de seguridad para volver a poner en línea los sistemas centrales dentro de un plazo aceptable, es posible que pueda negarse a pagar el rescate o negociar una cantidad significativamente reducida. Sin embargo, las empresas que no “cooperan” con los ciberdelincuentes o se demoran demasiado pueden encontrarse con una mayor cantidad de datos publicados en línea, incluida la información más confidencial que los piratas informáticos pudieron robar. Al final, muchas (la mayoría) de las empresas parecen haber llegado a la conclusión de que pagar el rescate es la mejor opción para minimizar el tiempo de inactividad y evitar exponer información confidencial.
A lo largo de este proceso, la junta directiva y el equipo directivo deben trabajar en estrecha colaboración con la empresa de comunicación de crisis de la empresa para desarrollar una estrategia de comunicación. Los mensajes se elaboran cuidadosamente para ser transparentes, proteger la reputación de la empresa tanto como sea posible y asegurar a los clientes y proveedores que sus datos están seguros y que la empresa ha vuelto (o pronto volverá a funcionar como siempre). También debemos cumplir con la SEC y otras obligaciones de divulgación legal. Dependiendo de la naturaleza de los datos robados, es posible que la empresa deba notificar a los clientes, empleados o clientes afectados y proporcionar una declaración correspondiente en caso de consultas de prensa u otras consultas. Las empresas también deben evaluar rápidamente qué requisitos de notificación de violación de datos existen en sus acuerdos con clientes y otros terceros. Estos requisitos a menudo requieren que las empresas notifiquen de inmediato una violación de datos en un plazo mínimo de 48 horas. Si una empresa no ha catalogado previamente estas obligaciones de notificación, será difícil completar esta evaluación en un período de tiempo muy corto.
Estas decisiones, y las siguientes, se han tomado sólo después de que he tenido la oportunidad de revisar la información relevante, considerar toda la información material razonablemente disponible para mí y tomar decisiones informadas y prudentes. Debe basarse en el deber fiduciario de la junta. actuar en el mejor interés de la corporación (y en Delaware, de sus accionistas). Sin embargo, en estas circunstancias, estas importantes decisiones deben tomarse bajo extrema presión y con el conocimiento de que los litigios de los accionistas (y otros) y las investigaciones gubernamentales casi siempre seguirán a estas intervenciones.
Las juntas directivas reconocen la importancia, y algunos dicen que son inevitables, de los ataques de ransomware, sus plazos muy breves y el impacto potencial en los clientes, los accionistas y la reputación. No debería construir este avión mientras intenta volarlo. Y, aparte de la obligación de Caremark de la junta directiva de monitorear eficazmente el riesgo, ningún director querría estar en una situación en la que tenga que lidiar con él por primera vez durante un ataque real. Las juntas directivas deben esperar que ocurran tales ataques y ejecutar escenarios de práctica en tiempo real para probar su preparación y capacidad para responder incluso a los ataques más hostiles.