Ciberseguridad en la Finanzas

¿Realmente le importa la ciberseguridad al equipo financiero?

Fuente: Harvard Business Review

Steve Vintz 

Todos y cada uno de los equipos directivos actuales se hace la misma pregunta frente al riesgo cibernético: ¿Qué podemos hacer diferente para no convertirnos en el próximo Equifax, Yahoo! o Target, para proteger a nuestros accionistas?La respuesta adecuada supone replantear de forma radical uno de los cimientos del equipo directivo: el CFO o director financiero. Hoy, ante el nuevo panorama digital, no se puede aceptar (ni es adecuado) que los responsables económicos se ocupen únicamente de gestionar el riesgo económico de una empresa. Hoy, tenemos que asociarnos con nuestros directores de seguridad de la información (CISO, por sus siglas en inglés) para enfrentarnos a las lagunas en ciberseguridad, ya sea porque no contamos con las herramientas de seguridad adecuadas o no tenemos identificadas las amenazas más acuciantes. Cuanto mayor sea la brecha entre nuestras defensas y los ataques potenciales, mayor será el riesgo de incidentes que puedan traducirse en un coste de millones de dólares en forma de reorganizaciones, negocios perdidos y caída del valor de las acciones.

Los directores financieros de las empresas más conscientes de este tipo de riesgos ya están aplicando las siguientes estrategias.

- Trabajar mano a mano con el director de seguridad de la información o CISO. Los directores financieros (CFO) deben unir sus fuerzas con los CISO a fin de comprender mejor el riesgo (y los costes económicos asociados) que implican las ciberamenazas actuales. En este momento, existe una desconexión entre la mayoría de los CFO y los profesionales de la seguridad a la hora de fortalecer una empresa frente a los ciberataques. Según un informe reciente del Instituto Ponemon, el 39 % de los profesionales de tecnologías de la información no creen que la directiva comprenda el impacto que ​puede suponer una fuga de información para la reputación de la empresa. Convertir al CFO en un miembro activo del equipo de seguridad, al igual que al CEO y el resto del equipo directivo, y no solo en un observador pasivo puede reducir de forma notable las pérdidas económicas al crear una cartera de productos y tecnologías de seguridad más concretos y eficaces. Ya son varios los CFO que trabajan con sus CISO y directores de tecnología (CIO, por sus siglas en inglés) para analizar, evaluar y reducir su brecha de seguridad. a) para realmente modelar su brecha de exposición cibernética. Las alianzas más efectivas incluyen revisiones semanales para evaluar la amenaza cibernética.

- Generar beneficios a partir de los servicios y mecanismos de seguridad propios. Si bien el gasto en seguridad de las empresas ha aumentado durante los últimos años, todavía no ha alcanzado los niveles adecuados. Los presupuestos para tecnologías de la información suelen representar entre el 3 % y el 7 % de los ingresos de una empresa; el presupuesto para seguridad, en torno al 5 % de ese gasto en TI. Dicho esto, sale a cuenta invertir en la seguridad de la empres. Según un informe de 2016, las empresas que inviertieron más en seguridad durante los dos últimos sufrieron de media 6,8 ataques menos y ahorraron más de cinco millones de dólares (unos 4,3 millones de euros). No obstante, la explosión actual de datos y dispositivos conectados -según Gartner, los dispositivos conectados con el llamado internet de las cosas (IoT, por sus siglas en inglés) suman ya 8.200 millones- está ampliando la superficie de ataque incluso en compañías que hasta hace poco estaban relativamente a salvo. Estos nuevos dispositivos alteran el equilibrio entre eficiencia y riesgo, ya que son en gran parte indetectables con herramientas tradicionales. Las compañías necesitan poner en práctica nuevos enfoques para enfrentarse a la realidad del nuevo entorno digital y sus amenazas en evolución constante.

Para los directores financieros, para gente como yo, resulta crucial entender dónde se encuentran estos nuevos riesgos. No podemos ignorar los presupuestos y las inversiones en seguridad como lo hemos hecho en el pasado; tenemos que formar parte activa de la estrategia, de su planteamiento, del gasto en personas y procesos. No se nos puede exigir que comprendamos la tecnología y su funcionamiento, pero sí debemos entender por qué es importante. Asimismo, tenemos que comprender el papel que juega cada nueva inversión a la hora de reducir nuestras vulnerabilidades, para asegurar el éxito de la empresa a largo plazo. Necesitamos por tanto hacer responsables a nuestros CISO y CIO del éxito de una estrategia de inversión en seguridad y TI diversificada y en línea tanto con los problemas de seguridad más inmediatos como con los objetivos a largo plazo de transformación digital. Con una mejor comprensión de las posibles brechas de seguridad y sus riesgos financieros asociados, los CFO, los CISO y los CIO pueden garantizar la solidez (y la vida útil) de nuestras carteras de tecnología. Organizar y preparar nuestros presupuestos para ciberseguridad de esta manera no solo mejorará nuestra posición general de seguridad, sino que también se convertirá en una forma de obtener dividendos a largo plazo.

- Asumir parte de la responsabilidad frente al riesgo cibernético. Dada la nueva, pero intensa, relación entre el riesgo cibernético y el riesgo financiero, el director financiero debería ser en última instancia responsable también del riesgo cibernético y los ataques que se puedan producir. Según un estudio reciente, los ciberataques y pérdidas de información producen de media una caída de un 5 % del valor de las acciones; la facturación de la empresa, de media, pierde 3,4 millones de dólares (unos 2,7 millones de euros. Por otro lado, una vez que el Reglamento General de Protección de Datos de la UE (GDPR) entre en vigor a partir de mayo de 2018, las filtraciones y robos de datos podrían generar multas de hasta 20 millones de euros, o el 4 % de la facturación total anual del ejercicio anterior.

Dado lo que está en juego, el CFO no puede hacerlo solo y debe asociarse con otras personas que compartan su interés y responsabilidad a la hora de analizar y minimizar el riesgo cibernético, incluidos el CIO y el CIS. Por último, los CEO más visionarios tendrán en cuenta las medidas de seguridad y su éxito a la hora de bonificar a sus directores financieros; les exigirán, junto al CISO, que informen con regularidad al equipo directivo.

El impacto económico y empresarial los ciberataques actuales exige que la dirección financiera se vuelque con la solución. Si no lo hacemos, los datos de nuestros clientes y billones de dólares están en juego.