Uno de los mayores incidentes informáticos de la historia reveló Equifax hace poco más de un año. La compañía -especializada en reportes de créditos- comunicó el 7 de septiembre de 2017 que sus sistemas habían sido blanco de un ciberataque, afectando la información de cerca de 143 millones de consumidores estadounidenses. Al día siguiente la acción de la empresa cayó 14% en la bolsa de Nueva York. Es más, en seis sesiones se hundió 35%.El papel ya ha recuperado más del 80% de lo que perdió, y la empresa sacó lecciones sobre cómo enfrentar una crisis. Para hablar sobre este tema aterrizó en Chile Jeffrey Haggott, vicepresidente de Global Enterprise Data Governance de Equifax.

¿Qué cambios ha hecho Equifax a un año de la filtración?

Haggott detalla que este año aumentaron la inversión en seguridad de la información y tecnología, donde tienen presupuestado más de US$250 millones, todo ello destinado a talentos, sistemas de seguridad, e infraestructura tecnológica, entre otros. Y espera que en 2019 la inversión sea similar a la de este año.

En ese sentido, recomienda a las empresas invertir más en ciberseguridad, aunque la cantidad va a variar por industria y segmento. “Nosotros (Equifax) estamos constantemente bajo ataque… Es importante que las empresas fijen cuál es su apetito de riesgo, y ese es otro aprendizaje: es importante tener una cultura de tomar decisiones de negocio en base al riesgo, también ahí hay que invertir”, explica.

Otro de los aprendizajes que sacaron del ciberataque, es que hay que tokenizar los datos o encriptarlos. “Para nosotros es imprescindible”, dice, pero apunta a otros factores comunes en los que deberían prepararse todas las empresas para poder hacer frente a una crisis.

En primer lugar, Haggott cree que el modo en que se comunica una crisis es fundamental, tanto de forma interna como externa. Lo anterior, considerando que “el ciclo de las noticias en este mundo de internet es constante.

Cuando uno está en una crisis a veces tiene aprobados ciertos mensajes que se van a poder difundir, pero de repente sólo hay 20 minutos para responder a un medio de comunicación antes de que publique algo, entonces hay que repensar cómo son, por ejemplo, las aprobaciones internas de una empresa, a veces los procesos que una compañía tiene fijados, y que están en práctica en la empresa, no son los adecuados para responder con la agilidad que se necesita”, afirma.

Una segunda lección que sacaron, es que las empresas en todo momento deben estar alineadas con los proveedores o aliados estratégicos que van a apoyar a la compañía para enfrentar una crisis. “Nosotros teníamos planes de contingencia y practicábamos con nuestros equipos de gestión de crisis anualmente”, explica. En ese sentido, agrega que “hay que estresar la organización al practicar estos ejercicios de crisis”.

Sin embargo, ejemplifica con algo que les tocó vivir: la fuga de datos de Equifax ocurrió entre mayo y julio del año pasado, en septiembre fue cuando lo hicieron público, y la investigación que hicieron sobre lo ocurrido, con el apoyo de la firma estadounidense de ciberseguridad, Mandiant, comenzó en julio y terminó en octubre.

“Nosotros como empresa regulada, cuando trabajamos con proveedores o contratistas que van a estar dentro de nuestras redes y oficinas, tenemos un proceso a seguir. En el caso de Mandiant tuvimos que enviar a nuestros empleados con notebooks para trabajar con el equipo de Mandiant, porque ellos todavía no tenían acceso para entrar en nuestras oficinas”, recuerda el ejecutivo de Equifax.

¿Qué hubieran hecho distinto?

“Es lo que estamos haciendo ahora: mayor inversión en el área de seguridad de la información y tecnología, nosotros tenemos que estar el 100% del tiempo seguros y confiados de que estamos haciendo todo bien, y el hacker sólo tiene que estar en lo correcto una vez, entonces requerimos de maximizar y mejorar los niveles de seguridad de la información con tecnología, automatización, lo mismo en el tema de infraestructura”, detalla.