Te han 'hackeado', y ahora, ¿cómo se lo comunicas a tus clientes?

Vaya por delante mi apoyo y mi ánimo al equipo de The Phone House que está lidiando con el último intento de soborno que ha finalizado con los datos de sus clientes viendo la luz pública al negarse la compañía a pagar lo que le pedían los criminales.

Pero en este artículo no quiero emitir ningún juicio de valor sobre la actuación de Phone House en la gestión del mismo, sino reflexionar sobre lo difícil que es trasmitir en qué medida se han implementado controles de ciberseguridad para proteger la información y los sistemas de una organización, a partir del comunicado realizado por la compañía tras la brecha (comunicado que se puede consultar aquí: https://www.phonehouse.es/comunicadoseguridad.html)

¿A qué me refiero? Hay en el texto tres frases que me han llamado mi atención:

• • "A pesar de todas las medidas de seguridad con las que contamos..."
• • "A pesar de que en Phone House contamos con todas las medidas de seguridad requeridas por la normativa de protección de datos, así como aquellas definidas por los principales estándares internacionales..."
• • "En Phone House continuamos trabajando [...] para garantizar que disponemos en todo momento de las máximas medidas de protección disponibles"

¿Qué tienen en común estas tres afirmaciones? Desde mi punto de vista las une la vaguedad y la imprecisión a la hora de intentar transmitir a los afectados cuál era el nivel de protección de la información y los sistemas de la compañía. Es lógico que, en esta situación, la organización intente dar una imagen de seriedad y de debida diligencia en la protección de la información de sus clientes y, de ahí, que utilice términos como "todas las medidas" o "máximas medidas disponibles", pero, ¿es acertado utilizar estos términos?

Desde luego, si hay algo que se sabe en ciberseguridad, es que la seguridad 100% no existe, pero, además, también sabemos que no siempre tiene sentido implementar las mayores medidas de seguridad disponibles, sino que, en función del riesgo se aquilatan las medidas a implementar.

De paso, es necesario comentar que la normativa de protección de datos no define ningún tipo de medida de seguridad concreta, sino que las medidas se deben establecer por el responsable, en función del nivel de riesgo. Pero insisto, no se "requiere", como tal, ninguna medida concreta. Por tanto, aquí sí que le puede hacer un pequeño reproche al redactor de la nota (sin necesidad de caer en la trampa perversa de decir que, si ha habido filtración de datos, entonces es porque las medidas no eran suficientes.

También es algo vaga la afirmación final de "todas las medidas definidas por los estándares" ¿Qué estándares, ¿todas?, ¿hasta las que potencialmente no aplicasen? Insisto, entiendo la postura de la Compañía de dar una imagen de seriedad y buen hacer y está claro que está intentando transmitir a los potenciales afectados que contaban con "buenas" medidas de seguridad, pero para lograr transmitir una buena imagen debemos apoyarnos en un lenguaje adecuado, objetivo y en herramientas que permitan mostrar este nivel de manera clara y entendible para el lector. Un buen ejemplo de esto son las calificaciones de seguridad, similares a las que ya existen para productos financieros o para el consumo energético.

Imaginemos que por un momento Phone House hubiera dicho en su comunicado algo del estilo de: “A pesar de contar con un nivel de calificación de ciberseguridad de ‘B B A’, los criminales han conseguido acceder a la información. Dado que consideramos que los datos que manejábamos eran de criticidad media – no se trata de información especialmente sensible, así que decidimos establecer un nivel de protección intermedio (el nivel B está a medio camino entre la D, el nivel más bajo, y el A+, el más alto). El servicio no se ha visto afectado porque la calificación de A muestra que disponíamos de medidas para responder a incidentes que permitían asegurar la continuidad de la actividad con una interrupción mínima. En cualquier caso. para conocer el detalle de las medidas implementadas puede consultar las medidas de seguridad que supone el nivel mencionado en el siguiente enlace: https://www.leetsecurity.com/dl/whitepaper/request/?wpslug=security-rating-guide”.

Creo que la calificación de seguridad permite a las compañías transmitir con objetividad y transparencia el nivel de protección que se ha implementado, elementos que van a ser cada vez más importantes para mostrar ante terceros (incluidas las autoridades competentes) una debida diligencia, evitando eufemismos y afirmaciones poco "afortunadas" como las que hemos visto.

Antonio Ramos, CEO, LEET Security